Spam Mail จาก Path แปลกๆ

สวัสดีครับ ขอสอบถามเป็นความรู้นิดนึงครับ

วันนี้เจอ user นึงส่ง mail ออกผิดปกติ รายละเอียดดังนี้ครับ

Subject: Warning: 500 emails have just been sent by arlata 10/11/2014

The arlata account has just finished sending 500 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/arlata.bytes file, it was found that the highest sender was arlata@sv.hostname.com, at 1863 emails.

The top authenticated user was arlata, at 1863 emails.
This accounts for 372% of the emails. The higher the value, the more likely this is the source of the emails.
An authenticated username is the user and password value used at smtp time to authenticate with exim for delivery.

The most common path that the messages were sent from is [COLOR=#ff0000][B]/usr/local/directadmin/custombuild[/B][/COLOR], at 1395 emails (279%).
The path value may only be of use if it’s pointing to that of a User’s home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

This warning was generated because the 500 email threshold was hit.

================================
Automated Message Generated by DirectAdmin

จุดที่น่าสนใจคือมีการส่งจาก /usr/local/directadmin/custombuild
ลองเข้าไปดูใน directory นั้นแล้วปกติครับ ไม่มีไฟล์แปลกปลอมแต่อย่างใด ทุกไฟล์มีสิทธิ์ของ root
และ date modify ของ file ก็ปกติ

อ้างอิงจากประโยค
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

แต่ path ที่ปรากฎก็ไม่น่าจะไปโผล่ที่ custombuild รึเปล่าครับ

อยากขอสอบถามความเห็นทุกท่านว่าอาการนี้ผิดปกติมั้ยครับ ?

(ตอนนี้ suspended user ไปนั้นไปแล้วรอดูผลครับว่าจะส่งออกได้อีกมั้ย)

“[COLOR=#333333]it likely means the email was sent through smtp”

ไปเปิด log /var/log/exim/mainlog อ่านดูครับ[/COLOR]