si c'est par SSh alors ils ont effectivement certainement laissé une backdoor après le 1er piratage.
Si ta conf est bonne et que tu ne vois rien dans les logs c'est aussi possible qu'il y ai une seconde installation d'asterisk (ou autre) sur le serveur
tu devrais faire un tcpdump et analyser les trames de ton serveur.

peux tu aussi nous poster le résultat de
iptables -L
et
netstat -an

vu que ça a encore du te couter un bras, je serais toi je ferais un audit par une boite externe.