我不认为这个问题属于SO，但我认为无论如何你都可以使用一点方向。

检查您的假设

您应该从检查您的假设开始：

今天有人攻击我的服务器并以root用户身份登录。

你怎么知道的？日志文件中是否有条目显示用户从未知IP地址登录？当你说logged in时，我们大多数人都会认为你的意思是使用ssh登录，或者某种管理界面如cpanel。我们将此解释为“有人使用有效凭据获得访问权限”。但是，您无需拥有有效的凭据即可访问站点。

如果您拥有的唯一证据是某人更改了某些文件，那么您无法确定他们是否“已登录”。如果他们利用您的网络服务器上的服务，他们可以在不知道您的密码的情况下更改和编辑文件。对于未修补的和未维护的joomla和wordpress实例（以及其他实例），这种情况经常发生。

窃取密码

从技术角度来看，有人可以找到我的root密码吗？有人可以从某些apache服务或php以root用户身份登录而无需输入实际密码吗？

请参阅上面的“登录”讨论。但要明确，是的，有人可以在没有实际登录或使用密码的情况下以root或php身份运行。考虑到他们也可以使用您登录的客户端上的键盘记录器来窃取您的密码，或者，如果他们之前已经破坏了您的服务器，则在服务器上安装程序来捕获您的密码。

如果您使用的是基于Web的管理，则攻击者还可以利用跨站点脚本或跨站点请求伪造等攻击来窃取您的会话cookie或代表您执行操作。

从妥协中恢复可能非常棘手。您必须收集大量数据以尝试确定原因。您应该查看您的网络日志，ssh日志等。汇总时间表，文件何时更改，谁是最后一个登录用户等。您还必须确保入侵者已经消失：您是否已从中恢复文件一个已知的好备份？是否有额外的启动过程或cronjobs？