Exim

How to catch a site from which there is spam from Exim'a on the server?

Здрвствуйте! Имеется VPS'ка на CENTOS c панелью ISPManager. С недавнего времени сервер стал часто падать,как оказалось из-за забитых inodes + писем в очереди было 2000000!!!!!! Ок,полез на инет за командами и через консоль почистил очередь и писем стало где-то 13000 и процент нагрузки снизился. Ок,думаю все норм,но не тут то было. Все по новой...inodes растут,очередь пополняется и думаю дай гляну чем exim занимается и обнаружил что он все пытается принять/отправить какие-то письма с адресов типа [email protected],[email protected] и т.д. Потом командой top обнружил что exim больше всех появляется в процессах. Так вот к чему это я...на просторах нашел пост про выявления спам пользователя на серве,но там есть строчка команды,которая у меня не проходит,а если проходит то пишет просто 45 и все,а не как там путь к проблемным папкам.
Here is a link to everyone: Zhmyak
And here is the team

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort -n

Can I change this line somehow under CENTOS ... I just don't know. On that site, they also wrote in the comments that they didn’t plow on CENTOS and didn’t even answer anything. Then I found that in php.ini you can configure logging to the /var/tmp/ folder and the log showed this:

[06-Feb-2016 18:51:22 Europe/Moscow] mail() on [/var/www/user/data/www/domain.ru/modules/core/mail/sendmail.php:25]: To: [email protected] -- Headers: X-HostCMS-Reason: Alert Precedence: bulk From: [email protected] X-Mailer: HostCMS Reply-To: <[email protected]> Return-Path: <[email protected]> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----------145477388256B6167AC47DA"

Those. sendmail.php worked when sending. Then I logged in under the user user and looked at the logs, and there I saw that the application sending script was VERY often used:

66.249.78.251 - - [06/Feb/2016:19:58:38 +0300] "POST /instances.php HTTP/1.0" 200 1510 "http://domain.ru/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

So the whole log, from different pages. Serf administration gurus and just knowledgeable people... what to do in such situations? How to block spam or how to block this [email protected]? Just cleaning the clogged queue constantly is not an option. Thanks in advance.