Szép is lenne, ha a /var/log/messages alapból tartalmazna minden PHP nyomkövetési információt. De hamár nyílt forrású szoftvereket használsz, miért nem nézed meg legalább a dokumentációt?

http://hu2.php.net/manual/en/mail.configuration.php

Gaba, nem nagyon értem, h a php manual-al mire céloztál?

Csaba, a /tmp mappán tele van ilyen 0-bájtos hülyeségekkel:
-rw

---

1 apache apache 0 Feb 19 12:13 03PhH8
-rw

---

1 apache apache 0 Feb 19 15:03 05Isy5
-rw

---

1 apache apache 0 Feb 24 21:13 0ETOlE
-rw

---

1 apache apache 0 Feb 23 13:23 0EuFId
-rw

---

1 apache apache 0 Feb 25 16:13 0Vwc59
-rw

---

1 apache apache 0 Feb 25 15:34 0fqoSd
-rw

---

1 apache apache 0 Feb 26 09:04 0hK67x
-rw

---

1 apache apache 0 Feb 25 16:39 0lKsgA
-rw

---

1 apache apache 0 Feb 19 15:36 0uvPmV
-rw

---

1 apache apache 0 Feb 26 10:52 12vTyN
-rw

---

1 apache apache 0 Feb 24 21:12 1Hq5GQ
-rw

---

1 apache apache 0 Feb 26 11:42 1NFGJ0
-rw

---

1 apache apache 0 Feb 26 14:36 1eGmrt
-rw

---

1 apache apache 0 Feb 26 09:14 1hZnn3

És az a fura, h amióta problémám van (febr 19), azóta jöttek ezek is ide.
Hogy őszinte legyek nemigen tudom elképzelni, h feltörték a szervert, mert ssh nem fut és az egyetlen webes adminisztrációs felületen sem léptek be rajtam kívül.
Csak az ftp marad (az nem titkosított), továbbá valami frissítés hiánya miatti betörési lehetőség.

A suhosin mit tud pontosan?

Üdv,
Attila

  mail.log  string

    Log all mail() calls including the full path of the script, line number, To address and headers.

http://hu2.php.net/manual/en/mail.configuration.php

Azaz beírod az /etc/php.ini fájlba:

és az apache újraindítása után a /var/log/php-mail.log fájlban megtalálod hogy melyik PHP szkript melyik sorából küldtek levelet. Ha visszakeresed a PHP sort és ott nincs mail() hívás, akkor az adott PHP szkript „kód beszúrásos” támadás áldozata lett.