Detectar Script Spam

En el sgt caso, como hacer para detectar un script o archivo php ,que genera spam??
(teniendo un dedicado y whm/cpanel y obviamente acceso root)

Un cliente tiene dentro de su hosting, cientos de programas php,
al parece alguien le a subido un archivo php, o script, para enviar spam a traves del host, y esta generando Spam

esta activo phpsuexec, asi que se detecto la cuenta de hosting , que genera spam.
ahora bien, la pregunta es, como detectar cual archivo o script esta generando tales envios?

Si bien , en la cola , se muestran todos los email, ya que se tiene como nro maximo de envio por cliente en 250 email por hora, como hacer para detectar cual archivo php o script, esta generando tal envio de spam??

Salu2

PD
Ojo, el envio no es por smtp, ya que se veria cual cuenta esta enviado, ya que el envio por smtp esta autenticado.

es probable que este usando la función mail() de php; si es así creo que está dificil saberlo

Hace un tiempo di un par de consejos a otro usuario respecto a este tema, tal vez te interese. Además te sugiero buscar en los foros cPanel, hay muchos casos como este.

Saludos,