Lo que apunta KekoGrama es sólo uno de los posibles ataques DDOS posibles. Los ataques de denegación de servicio pueden ser de multiples tipos...

Algunos son por saturación (el que comenta KikoGrama), son los más simples porque no requieren de ninguna acción especial, salvo como te dice él, disponer de miles de equipos accediendo a un servicio concreto de tu servidor cada pocos segundos, de forma que satures la máquina y sea incapaz de responder a nuevas peticiones (con lo que obtienes un DDOS en la práctica).

Pero también hay infinidad de ataques DDOS que aprovechan un bug en alguno de los servicios de tu máquina, o en el núcleo del S.O., o en una pobre programación de una página web, por ejemplo (que deje abierta una forma de provocar un segmentation fault en algún servicio, por ejemplo)...

Para saber que te hicieron y como deberías realizar un análisis forense de tu máquina. Podrías encontrarte con esas miles de IPs que te comentaban antes (con lo que ya sabrías la forma en que te atacaron)... O podría ser algo más sutil.

El problema es que eso es algo que se debe hacer EN EL MOMENTO. Apagar discos y sacarlos para estudiarlos en frío.

En cualquier caso, ANTES DE NADA asegúrate de tener todos los parches del S.O. al dia, asi como de los servicios que expongas (servidor web, PHP, MySQL, correo, etc...)