Как узнать, откуда берутся загадочные скрипты СПАМА?

Я являюсь менеджером центра обработки данных в небольшом интернет-провайдере, и у нас возникла проблема с таинственными скриптами, рассылающими СПАМ на наш сервер. Эти сценарии PHP загадочным образом появляются в / tmp, а иногда и в папках веб-сайта. У нас была установлена ​​программа «Галерея», которая требовала опасно повышенных разрешений и позволяла внедрять эти скрипты. С тех пор я ограничил этот сайт через .htaccess только нашим офисом, и теперь спам перестал отображаться в папках веб-сайта, но все еще появляется в / tmp, а также в других папках веб-сайта. На нашем сервере работает exim с Directadmin в Debian 2.6.26-29.

Чтобы найти скрипты СПАМА, которые я запускаю:

    server:/# grep cwd /var/log/exim/mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n


      1 /home/xxx/domains/XXX/public_html/cgi-bin/formmail
      2 /
      2 /home/xxx/domains/xxx.com/public_html/wp
      2 /home/xxx/domains/xxx.com/public_html
      2 /home/xxx/domains/xxx.com/public_html
      4 /usr/local/directadmin
     11 /home/admin
    303 /home/admin/domains/xxx/public_html/components
   2947 /tmp

Кто-нибудь знает, как узнать, откуда эти скрипты? Apache является владельцем сценариев СПАМА. Заранее спасибо.