¿Es posible que un intruso reinicie un servidor Linux de forma remota (sin tener acceso interno)?

En términos generales, sí: si tienes un fallo que lleva a la ejecución remota de código con acceso root, puedes hacerlo.

De hecho, es posible que una falla específica no provoque una ejecución remota de código, pero aun así provoque un pánico en el kernel y un reinicio del servidor.

Sin embargo, dada la forma en que ha formulado su pregunta, dudo que tenga el conocimiento necesario para realizar una autopsia en un sistema y detectar este tipo de ataque: le sugeriría que contrate a un profesional de seguridad si realmente desea que examine el sistema.

Necesita acceso de root para reiniciar un servidor Linux. Si su cuenta raíz se vio comprometida y tiene ssh habilitado, entonces es completamente posible que alguien reinicie su servidor de forma remota. A juzgar por la calidad de esta pregunta, le recomiendo encarecidamente que contrate a un consultor con experiencia reveladora si esto está afectando los sistemas de producción.

Sí, pero te sugiero que no lo tengas en cuenta todavía.

La mayoría de los atacantes irrumpen en los servidores por motivos como:

• Realizar ataques DOS o C&C de otros servidores comprometidos.
• Alojar contenido que infrinja los derechos de autor.
• Hacer declaraciones políticas o sociales desfigurando sitios web.
• Realice compromisos adicionales de servidores remotos a clientes.

No existe ningún beneficio real para la mayoría de los atacantes al ingresar al servidor simplemente para reiniciarlo. Si bien es posible, considerando los motivos de la mayoría de los intrusos, es másprobableel problema es otra cosa: ya sea el mantenimiento por parte del proveedor de alojamiento, una interrupción o, en el peor de los casos, que alguien reinicie accidentalmente la máquina y no se dé cuenta. :)

Por supuesto que es posible. Mire /var/log/auth.logpara comprobar cualquier registro sospechoso.