Estimados amigos. Mi problema es que hay algún script en mi servidor enviando spam continuamente y deja estos "rastros" en el log:

Jan 28 22:12:17 mail postfix/sendmail[18955]: fatal: User www-data(33) is not allowed to submit mail
Jan 28 22:12:17 mail postfix/sendmail[18956]: fatal: User www-data(33) is not allowed to submit mail
Jan 28 22:12:17 mail postfix/sendmail[18957]: fatal: User www-data(33) is not allowed to submit mail
Jan 28 22:12:17 mail postfix/sendmail[18958]: fatal: User www-data(33) is not allowed to submit mail

Aparece así porque he desactivado el usuario www-data (ID 33) para enviar correo. El problema es que haciendo esto deniego el envío de correo a mis usuarios web legítimos, perdiendo correos de contacto y reservas.

El caso es que he pasado rkhunter, chkrootdisk, clamav y malware detect al directorio donde se encuentran las webs alojadas (arrojando algunos scripts maliciosos que he borrado sin resultado), he comprobado puertos abiertos con nmal, procesos cron, ficheros en /tmp... sin encontrar nada extraño. Y los ficheros del sistema en /usr/sbin, /sbin y demás no parecen cambiados.

Lo que tengo claro es que lo origina algún proceso local que ejecuta sendmail, pero no sé cómo puedo encontrar ese proceso en cuestión y la ruta donde se encuentra.

Mi caso es idéntico a este que he encontrado: http://serverfault.com/questions/565...log-ip-address

¿Alguien tiene alguna idea de lo que puedo hacer?