Дефектные записи так или иначе связаны с определенными пользователями или их действиями? Это просто регулярные логины ssh, или Вы используете X11? Вы могли проверить, есть ли у тех 'фантомных пользователей' все еще некоторое выполнение процессов? Если Вы будете корнем, то взгляд на их .bash_history даст по крайней мере некоторую идею, что они делают.
Только для параноика я, вероятно, также выполнил бы fsck. Проверка знаки руткитов и т.д. походит на хорошую идею также.
sendmail -bp
(и mailq
) только перечисляет почтовую очередь: поставленные в очередь сообщения, но еще отправленные. Это не будет включать те сообщения, которые были переданы успешно.
Необходимо проверить /var/log/mail.log
(и другие файлы журнала) - у них почти всегда есть записи каждой передачи.
php 5.3.0 добавил 2 настройки, которые упрощают отслеживание мошеннических скриптов:
mail.add_x_header
mail.log