"Localhostról persze tudnak kapcsolódni php alól. Feltéve, hogy erre gondolsz."
Igen, de nem a mail()-re (mert az ugye elviekben nem nagyon csinalhat nem valid smtp commandot), hanem a php-s connect()-re.
"Viszont a kódban semmiféle nyomát se találtam az apache logok alapján ilyen jellegű hackenk."
Ez viszonylag egyszeruen kizarhato: probalj meg beloni egy iptables-t, hogy logoljon ownert/pidet minden loopbacken kozlekedo tcp/25 syn-re.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!