Хостер часто блокирует почтовый трафик на сервере, после последней проверки не удалось выявить каких-либо вредоносных скриптов, по заголовкам из писем удалось получить список файлов, которые выполняли отправку — они так же были проверены и угроз не несут. Возникло подозрение, что возможно помимо спама с помощью функции mail() на сервере, сервер подцепил что-то, что рассылает спам через сторонний сервер.

Команда lsof | grep smtp вывела:
[root@domain ~]# lsof | grep smtp exim 12669 exim 3u IPv6 1617849445 0t0 TCP *:smtp (LISTEN) exim 12669 exim 4u IPv4 1617849446 0t0 TCP *:smtp (LISTEN) exim 21248 exim 10u IPv4 1791358785 0t0 TCP domain.ru:52790->ol-in-f27.1e100.net:smtp (SYN_SENT) exim 21957 exim 9u IPv4 1791378187 0t0 TCP domain.ru:smtp->52.175.23.137:63597 (CLOSE_WAIT) exim 21957 exim 10u IPv4 1791378187 0t0 TCP domain.ru:smtp->52.175.23.137:63597 (CLOSE_WAIT)

После перезапуска exim:

[root@domain~]# lsof | grep smtp exim 12669 exim 3u IPv6 1617849445 0t0 TCP *:smtp (LISTEN) exim 12669 exim 4u IPv4 1617849446 0t0 TCP *:smtp (LISTEN) exim 25222 exim 9u IPv4 1792563905 0t0 TCP domain.ru:smtp->52.175.23.137:54652 (CLOSE_WAIT) exim 25222 exim 10u IPv4 1792563905 0t0 TCP domain.ru:smtp->52.175.23.137:54652 (CLOSE_WAIT) exim 25227 exim 9u IPv4 1792575077 0t0 TCP domain.ru:smtp->52.175.23.137:54046 (ESTABLISHED) exim 25227 exim 10u IPv4 1792575077 0t0 TCP domain.ru:smtp->52.175.23.137:54046 (ESTABLISHED)

Не силен в администрировании, но так понимаю, что перед перезапуском было открыто соединение с сервером ol-in-f27.1e100.net — явно какая-то нечисть. UDP — выяснил что это гугл, но через его SMTP с сервера ничего отправляться не должно. Только яндекс и выделенный почтовый сервер на стороне мелкомягких.

Собственно, возник вопрос: а можно ли узнать, какой файл на сервере открыл соединение с тем или иным сервером из вывода этой команды? Спасибо.