É possível que um invasor reinicie um servidor Linux remotamente (sem ter acesso interno)?

De modo geral, sim: se você tiver uma falha que leve à execução remota de código com acesso root, você pode fazer isso.

Na verdade, é possível que uma falha específica não leve à execução remota de código, mas ainda assim leve a um kernel panic e à reinicialização do servidor.

Dada a maneira como você formulou sua pergunta, duvido que você tenha o conhecimento necessário para realizar uma análise post-mortem em um sistema e detectar esse tipo de ataque: sugiro que você contrate um profissional de segurança se realmente quiser que o sistema seja examinado.

Você precisa de acesso root para reiniciar um servidor Linux. Se sua conta root foi comprometida e você tiver o ssh ativado, é perfeitamente possível que alguém reinicie remotamente o seu servidor. A julgar pela qualidade desta pergunta, recomendo fortemente que você contrate um consultor com experiência em revelação se isso estiver impactando os sistemas de produção.

Sim, mas sugiro que você não leve isso em consideração ainda.

A maioria dos invasores invade os servidores por motivos como:

• Execute ataques DOS ou C&C de outros servidores comprometidos.
• Hospedar conteúdo que viola direitos autorais.
• Faça declarações políticas ou sociais desfigurando sites.
• Execute compromissos adicionais em servidores remotos para clientes.

Não há nenhum benefício real para a maioria dos invasores invadir o servidor apenas para reiniciá-lo. Embora seja possível, considerando os motivos da maioria dos intrusos, é maisprovávelo problema é outra coisa - manutenção por parte do provedor de hospedagem, uma interrupção ou, na pior das hipóteses, alguém reiniciando acidentalmente a máquina e não confessando isso. :)

Claro, é possível. Veja /var/log/auth.logpara verificar qualquer registro suspeito.