Ich würde den Server sofort in den Rettungsmodus versetzen, das kannst du übrigens auch selber im VCP solange du darauf noch Zugriff hast.
Danach solltest du dir wie du selbst schon gesagt hast alle Logs nach Auffälligkeiten durchsehen.
Jetzt hab ich es erst richtig verstanden das du die Joomla Installation nicht ausgeführt hast dies aber über deinen Webserver möglich war.
Außerdem solltest du einen PC auf Viren, Trojaner etc... prüfen. Das am besten per Live CD.
In diesem Fall bin ich mir nicht sicher in wiefern man über eine nicht ausgeführte Installation einer Webanwendung Schadware auf einen Server einschleusen kann. Das dies möglich ist würde ich aber an dieser Stelle nicht ausschließen. Die Logs sollten allerdings Auskunft darüber geben.
Was heißt DDos? Bei dem Angriff waren also noch andere Server beteiligt?
Wie war dein SSH Zugang abgesichert?
Hattest du alle unnötigen Ports gesperrt?
Gab es Zugänge für andere Nutzer (FTP etc...)?
Hat eventuell der Ausfall deines Internets Zuhause etwas damit zu tun, das ein Trojaner der Grund für den Angriff war?
Bitte weitere Informationen wenn du noch Fragen hast