там base64 с солью, скрипт зашифрован

в переменной $qpkudss и есть весь злощасный код... это взлом ничего иного я думаю, через WordPress

Обнови свой wp, убедись что файл оригинальный, проверь разрешения на папку на web сервере и какая версия php на севере говоришь стоит?

Прикол в том, что на сервере бардак...
Ранее там лежал сайт на WP, затем подрядчик на своём движке запихал туда другой сайт. Теперь у меня отвалился доступ к админке WP, но файлы от него судя по всему остались..

Посмотри virtual hosts и location. Видимо он где то все таки фигурирует

В каталоге "old" лежат остатки от WP и в них злощастный скрипт.

Если сайт уже работает на другом движке, может снести этот каталог со всем содержимым?

первое правильно сисадмина, сначала сделай бэкап, потом приступай к действиям)

@Vadimml24 разгреби первым делом бардак. Сделай бэкап базы, папок. Разгреби, наведи порядок.

Потом обнови wp

Все последовательно

Вообщем заработало!
Навёл порядок в каталогах на хостинге. В принципе он заключался лишь в наличии каталога /old с файлами от WP, сам WP был удалён до этого.
А вот из этих остатков и запускался скрипт на спам, из-за которого и произошло переполнение.
Далее возникла необходимость вычистить каталоги с почтой.
Фэбморда не позволяла произвести опустошение папки входящие. Ругалась на то что нету места на диске.
Вручную удалил каталог /cur, который занимал (как символично) 666,9Мб. И создал его по новой.
Далее создал бэкап базы данных через DirectAdmin-консоль, стянул бэкап каталогов с хоста на свой сервер по ftp.
Проверил работоспособность почты на клиенте.
Усё упорядке!
Спасибо за помощь!

👍👍👍

Порядок - залог безопасности ☝️👍

Ребят, а кто в курсе, как корректно завершить открытую SSH сессию другого пользователя в Linux?

т.е. kill pid это вообще корректно?

А  такая команда как man kill, man ps?
Или pkill -U  и имя пользователя..

Или эта?

я к тому, что я могу убить сессию... но это не совсем то, что exit, верно же?

Ну exit, вроде как выход?