Um den Übeltäter zu finden, können zwei Einträge in der /etc/php5/apache2/php.ini helfen:
mail.add_x_header = On mail.log = /var/log/phpmail.log
mail.add_x_header ist eigentlich per default aktiviert bei Debian. Im phpmail.log findet man dann:
mail() on [/var/www/vhosts/domain.com/httpdocs/pages/modules/system/system.mail.inc:83]: To: jeff@domain.co.uk -- Headers: MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed; delsp=yes Content-Transfer-Encoding: 8Bit X-Mailer: Drupal Sender: jeff@domain.co.uk From: jeff@domain.co.uk
Darauf achten das der Webuser auch in das Log schreiben darf.
Das ganze gibt es erst seit PHP 5.3.
Tatsächlich hilft auch ab und an mal ein
$ clamscan -i -r * docroots/profiles.php: PHP.Trojan.WebShell-9 FOUND
Clamscan findet eine ganze Reihe von PHP Shells und auffälligen Code.
Mehr Infos findet an
http://blog.rimuhosting.com/2012/09/20/finding-spam-sending-scripts-on-your-server