Allgemeingültige Antworten gibt es nicht. Wenn du kein Tool hast, welches dir Prüfsummen über alle Dateien erstellt hat, ist es sehr schwierig, Veränderungen zu finden.
Auf jedem Fall aus dem Rescue-System arbeiten. Alles andere ist nicht länger vertrauenswürdig. Man braucht halt viel Erfahrung, eine Vorstellung von dem, was konkret auf dem Server wie lief und Ahnung von möglichen Sicherheitslücken, die dabei auftreten können.
Was ist denn konkret passiert? Im Zweifelsfall halt einen Profi bezahlen, als sinnlos im Trüben zu stochern und dabei mehr zu zerstören, als zu lösen.