По логам мунина заметили, что периодически в spool накапливается много писем, а sendmail начиает судорожно их рассылать, анализ показал, что от нас рассылают спам. Сейчас спасаемся тем, что очищаем очередь и рестартим sendmail + убиваем процесс perl.
Пароли поменял, антивирусом прошёлся, rkhunter вроде ничего особенного не видит, никаких подозрительных файлов на виду нет. Что делать уже не знаю, искоренить заразу не получается.
Какие шаги ещё можно предпринять, чтобы найти злосчастный шелл?
Сервер Centos