php を経由して bot が侵入してくるのでこれを設定するとよさそう。
http://www.tutorialarena.com/blog/disable-php-functions-using-directive-ini-configuration-file.php
crontab とか suid されてるので exec 関係の関数をまとめて禁止するのはよさそうなアプローチ。
system, exec, shell_exec, ``, popen... 禁止するべき関数が多すぎて。
ちなみに `` (バッククオート)は shell_exec のシンタックスシュガーになっているので、
shell_exec を禁止すれば `` も同時に禁止になる仕様。
ext/standard/basic_functions.c をちまちま書き換えてたけど、実は
disable_functions というそのものズバリな設定項目があったよという話。
sendmail 叩きたい人はどうしようか……
