さまざまな角度から検討すべきと思いますが、３０台に一斉に操作する業務がらみの自動処理がないのであれば、攻撃の可能性は高いと推測できますね。 　偶然だの操作ミスだのという次元の現象とはとても思えません。 　内部か外部かを判断する貴重な資料になりますので、外部との接続点にあるルーターやファイアーウォールなどのログを全て、保全するのが急務ですね。ほっておくと過去の物からどんどん消えていきますからね。 　複数の事業所に、これだけのサーバーがあると言うことは、割合大きなネットワークでしょうから、中間点にもルーターか、それに類する物があると推測します。これに関しても、ログを取る機能が備わっているなら、全て保全しましょう。 　ログファイルが消失しているのが痛いですが、本当に究明したいなら、今のサーバーのＨＤＤにはこれ以上、一切の書き込みをせずに、専門家に解析を依頼するべきでしょう。データの痕跡が残っている可能性があります。運が良ければ、まだＤＥＬをかけただけの状態で簡単にファイルが復元できる状態である可能性も高いです。 　ログファイル等の復元ができれば、調査の幅が大幅に広がります。 　私が仕掛けるなら・・・退職時に最後の置き土産で、時限爆弾プログラムを仕掛けていくかな。バックドアをおいていっても良いですけど、ネットワークに消しがたい証拠が残るのがシャクですから。 　 　まぁ、そんな推測をしても、なんの役にも立ちません。 　威力業務妨害で、素直に警察の手を借りることも考慮に入れた方が良いかと思います。（これだけのサーバーをこかされたら、損害もタダじゃ済んでないでしょうし。ちゃんと犯人を突き止めておけば、損害賠償請求の道も選択肢としてありますから。）