Para verificar qual usuário e/ou script que está enviando SPAM em seu servidor cPanel/WHM, execute o seguinte comando:

grep cwd /var/log/exim_mainlog|grep -v /var/spool|awk -F”cwd=” ‘{print $2}’|awk ‘{print $1}’|sort|uniq -c|sort -n

Você terá um retorno de algo parecido com:

13 /home/USUARIO/public_html
15 /home/USUARIO/public_html/php
18 /home/USUARIO/public_html/online/login

Obs.: O número a esquerda do diretório representa o número de e-mails enviados.
Obs².: O período é de acordo com que os logs são mantidos pelo exim.

Este comando é ótimo para verificar se há algum usuário e/ou script enviando SPAM a partir do seu servidor cPanel/WHM.