จากที่เคยเจอจะมี 2 กรณี ครับ ( จากประสบการดูแลโฮสติ้ง )1. ถูกแฮค แล้ววาง phpshell หรือ สคริปอื่นๆ เพื่อใช้ในการส่งสแปม
2. อีเมลนั้นพาสรั่วหรือเครื่องที่ใช้งานติดไวรัสทำให้พาสรั่วไปยังผู้ไม่หวังดี
วิธีแก้ไข1. หากถูกแฮค ตรวจสอบได้จาก Warning Message นี่ละครับง่ายสุด จะมีแจ้ง พาท ตำแหน่งที่มีการส่งเมลออกไป จากนั้นหใ้ไปไล่หาดูว่ามีไฟล์ไหนถูกแก้ไขไปบ้าง เวลาที่ถูกแก้ไจะแตกต่างจากไฟล์อื่น เช่น เราปรับปรุงเว็บหรือลงสคริปไปเมื่อ ปีที่แล้ว พอเราเข้าไปดูในส่วนที่ต้องสงสัยจะพบว่ามีไฟล์ที่ถูกแก้ไขไปล่าสุด อาจจะเป็น 1 - 2 วันที่แล้ว ไฟล์เหล่านั้นอาจจะเป็น phpshell ซึ่งอาจจะถูดเข้ารหัสไว้ทำให้เปิดอ่านไฟล์แล้วไ่เข้าใจกลไกลการทำงานของมัน ให้ลบออกไป หรือ บางไฟล์อาจจะเป็นไฟล์ในระบบของเราจริงๆ แต่ถูกดัดแปลงเพิ่มโค้ด Back Door เอาไว้ ส่วนมากจะเป็นสคริปที่อ่านแล้วแปลกๆ ให้ลบบรรทัดนั้นๆ ออกครับ หากไม่ชัวร์ไปเปิดดูสคริปในเครื่องเราเปรียบเทียบโค้ดได้ครับ
2. อีเมลรหัสรั่วก็ให้ทำการลง Anti Virus mี่น่าเชื่อถือ เช่น NOD32 ของเค้าดีจริง หรือ AVG จากนั้นสแกนเครื่องที่ใช้งานอีเมลนี้ และทำการเปลี่ยนรหัสผ่านอีเมล
ในระหว่างนั้นก็รอครับ ว่าจะมีการสแปมอีกเมลอีกไหม หากมีอาจจะเป็นไปได้ที่ แฮคเกอร์มีการวาง Phpshell ไว้นอกเหนือจากที่เราค้นเจอไปแล้วหากเป็นลินุกให้ใช้คำสั่ง
เข้าไปยัง ไดเรคทอรี่ ที่ต้องการ จากรูป เป็น User admin
cd /home/admin
find . -mtime -1 -print
นี่สำหรับ 1 วัน ล่าสุด
find . -mtime -2 -print
นี่สำหรับ 2 วัน ล่าสุด
ดูเพิ่มเติมเกี่ยวกับคำสั่ง
https://techjourney.net/find-f...ertain-time-ago-in-unix-linux/ 
http://stackoverflow.com/quest...-been-changed-in-last-24-hours แล้วท่านลองไปไล่ดูตามพาทไฟล์ทีมีลิสในนี้ครับ
บางไฟล์อาจจะไม่เกี่ยว เช่น ไฟล์อัตโนมัติต่างๆ เช่น cache ของ cms ต่างๆ เป็นต้น
หวังว่าข้อมูลนี้อาจจะมีประโยชน์กับท่าน ไม่มากก็น้อยครับ 
Host and Domain
