Je možné, že tvůj courier-imap běží s jinou konfigurací, než kterou jsi mu vytvořil ty. To jsou klasické techniky.

Zřejmě roota získal nějakým trikem ve squirellmailu spolu s chybou apache. Nebo máš špatně definovaná práva Není možné, že proces apache by mohl měnit /etc/passwd, /etc/shadow nebo /etc/group ?

Zkontroluj si export a podívej se na výchozí cesty, třeba tam máš v adresáři, který v PATH nemá co dělat ještě jiného démona.

Jak se dostal do tvé databáze? To ji máš na jednom serveru vystaveném do internetu?

Uznávám, že mám trošku více komplikované řešení, ale za to mě hackli jen jednou a to ještě kombinací chyb v joomle a apachi, a to jen jeden z webů. Tedy ne server, ale jen změněný web.

To řešení se stává z:
samostatný mysql server, z webserveru dostupný jen striktně definovaným uživatelům, ten je mimo DMZ, upraveno firewallem
webserver je umístený za proxy, není na něj přímý přístup
celé je to za firewallem, takže mimo portu 80 a 443 na proxy se na to nikdo nedokáže dostat.

Jinak doporučuju ke studiu knížku: Linux - hacking bez záhad.