Взломали сервер Ubuntu

Через скрипт, судя по всему (смотрите соответствующий этому from виртуальный хост).

Где смотреть? Такого виртуального хоста нету на моем сервере.

шеллы ищи на сайтах

Искал. Это первое, что делал. Ничего не нашел.

Не новых файлов, не записей в логе апача подходящих нет.

ТС, я в свое время использовал простейший врапер на shell, который подменял текущий бинарик (sendmail или что там у вас), делал логирующие записи о каждом обращении к нему, а следом передавал весь набор аргументов на оригинальный бинарь....

Вроде понял, что Вы написали, но знаний недостаточно, что бы такое сделать. Более простых способов узнать откуда обращаются к sendmail нет?

Почему же нет, есть, но есть много но !

Во первых вы рут на сервере и имеете доступ к логам, я полагаю там описано не мало, та строка , что вы привели , как вы понимаете мало данных дает о том кто отправил, во первых я рекомендую вам перехватить очередь... т.е посмотреть полные хидеры письма, если у вас например отправка происходит через PHP и установлены mailheaders то вы увидите из какого виртуального хоста идет рассылка.... если же у вас все серо и просто, то можно никогда не найти .... ибо клиент который поставил в очередь это письмо на вашем сервере для вас же получается анонимным, любой клиент мог это сделать.... а у вас по факту нет путей слежения за этим, что в корне как бы противоречит логике отправки почты ... об этом надо беспокоится в тот момент когда вы почтовик ставите .... разве вам не интересно кто почту от вас шлет? А сейчас у вас проблема, вы кусок лога вывалили который ничего не решает ...... помочь по таким данным просто невозможно.... изучайте логи и хедеры в первую очередь, если там пусто будет ..... то тогда вам надо смотреть в сторону php (mailheaders), это даст возможность хотя бы проверить не шлют ли через PHP скрипты...., могут слать и через запущенные PERL скрипты, но вы их должны видеть в выводе 'ps auxw', посмотрите, нет ли там чего-то подозрительного.... (рекомендую сразу процесс не убивать, а пропустить его через lsof, что бы понять откуда он запущен и что это), так же посмотрите папки /tmp и /var/tmp, обычно сливается туда весь треш (тут рекомендую использовать nosuid,noexec опции при монтировании FS). Ну и как последний вариант, если все таки самому разобраться нет сил - обращайтесь за профессиональной помощью, тут да и не только тут, полно специалистов которые сквозь свой опыт через 10 минут скажут вам кто и как слал спам... но угадать это по 1му сообщению из maillog просто не реально :D Кстати, вы точно уверены что домена "cavtel.net" у вас нет на сервере?

Еще попробуйте сделать "cat <ваш лог фай> | grep q7U2qIww032610", возможно вы увидите дополнительные данные касающиеся цитируемой вами отправки.

Да , кстати! Не мало важный вопрос! Как вы поняли что идет спам рассылка с вашего сервера?

Пока что все, пробуйте, сообщайте о результатах.

Да, рут.

Есть полный заголовок письма. Но из него так же не понятно:

Анониму из вне отправка запрещена и сейчас установил, что бы и с сервера отправка была невозможна анониму. Но после этого письма с сайтов не уходят :)

Если через них шлют, то скорее всего должны быть данные об этом в логах апача, а там только обычные страницы сайтов.

в tmp только сессии, а в /var/tmp - пусто

Если отправка через скрипт (веб) - будет соответствующая запись в логах сервера, искать по дате (посмотреть формат лога - могут отличаться). Если указанного хоста нет - можно искать в файлах cavtel.net

grep -rl 'cavtel.net' /var/www

Искать по дате изменения файлов (2 дня назад).. //или -mtime

find /var/www -type f -сtime -2

кроме сессий и логов ничего нет :(