Реализуем на сервере с сайтами поиск php спам рассылка.
Обратился клиент с просьбой найти кто рассылает спам с сервера.
Первым делом решил добавить в php.ini параметры отслеживания скриптов вэб,

mail.add_x_header = On
mail.log = /mnt/mail_php.log

Перезагружаем php-fpm или apache.
Теперь в заголовках письма будит значиться запись вида:

X-PHP-Originating-Script: 0:mail.php

Значит скрипт лежит в корне сайта.
После этого действия в лог будут падать скрипты которые отправляют письма с сервера.
Нам только останется просмотреть лог и обезвредить скрипт рассылки.

[10-Feb-2019 09:12:04 Etc/GMT-3] mail() on [/usr/local/www/fryaha.ru/test/mail.php:9]: To: my_mail@local -- Headers: from:www@fryaha.ru -- Subject: Тест почты, test mails.

Вот и сам скрипт рассылки, но удаление его ничего не изменит, нужно анализировать как он оказался у вас на сервере.
Но мой совет, с начало закройте порт 25, после ограничьте доступ по ssh и смените все пароли авторизации на сервере.
А так же проверить вэб директорию сайта на вирусы, желательно 2-3 разными антивирусами ( я обычно проверяю 3-мя антивирусами: касперский, Avast, ClamAV ) со свежими антивирусными сигнатурами.
После обновить софт и систему на сервере, и сам движек сайта, этим вы повысите безопасность на 99%.
Вот и весь поиск php спам рассылка с сайтов на сервере.