Puedes ser muchas cosas, en primera el mensaje como llego ? via correo, via log o donde ?
Es claro que todo entró por SMTP. Aunque yo me doy cuanto al hacer un mailq y ver que tengo 49000 mensajes encola.
Que un servidor este comprometido no quiere decir que corrar alguna herramienta de deteccion de rootkits y te diga "He, si fuiste comprometido".
También es claro otro de los lugares que busque con mucho detenimiento fueron todos los archivos de cron.d/ cron.dayli/ etc.... De la misma forma corri un AV propietario en su version trial para asegurarme por si ClamAV está comprometido.
Sin embargo todas mis sospechas recaían en el servidor de correo y al asegurarme que no es OPEN RALAY, dirigí mi mirada a los usuarios. Y ahí entonces encontré que mis sospechas eran confirmadas.
Ahora estoy a la búsqueda una herramienta que cada cierto tiempo exija al usuario cambiar la contraseña. De esta forma me aseguro de una renovación contante de esta variable tan vulnerable.
Saludos, David