Смотрим лог mail.log в котором логируются письма
tail -n 1000 /var/log/php.mail.log | grep X-PHP
Видим в логе, что-то похожее на такое
X-PHP-Originating-Script: 750:accountSXu.php
X-PHP-Originating-Script: 750:accountSXu.php
X-PHP-Originating-Script: 750:accountSXu.php
X-PHP-Originating-Script: 750:accountSXu.php
X-PHP-Originating-Script: 750:accountSXu.php
X-PHP-Originating-Script: 750:accountSXu.php
X-PHP-Originating-Script: 750:accountSXu.php
X-PHP-Originating-Script: 750:accountSXu.php
Это означает, что пользователь 750 отправляет письма с помощью скрипта accountSXu.php
1. Ищем кто такой пользователь 750
cat /etc/passwd| grep 750
2. Ищем в его директории файл который спамит
find /var/www/user/data -name accountSXu.php
(параметр может меняться, так как пользовательские данные могут быть в /home )
PROFIT! Удаляем скрипт и чистим почтовую очередь
|
|
|
|
