Некоторые хозяева ботнетов не додумываются удалить папку install и настроить доступ к папке логов.
Основная задача - найти где хостятся ботнеты и в какой папке размещена панель.

Поиск с помощью дорка в Google:

code:

Zeus
Inurl: “cp.php?m=login” | inurl: “cp.php?letter=login”
ICE 1X
Inurl: “adm/index.php?m=login”
Citadel
Inurl: “cp.php?m=login”
BetaBot
Inurl: “login.php” intext: “myNews Content Manager”
SpyEye
Inurl: “frmcp/”

Или собираем вредные exe'шники, запускаем на виртуальной машине и читаем логи с Wireshark'a. Там будут показаны все адреса к которым коннектится бот.

Или следим за трэкерами. Пример

code:

https://zeustracker.abuse.ch/monitor.php

Далее все просто. К примеру бот расположен на site.com/panel/. Некоторые не утруждаются удалить install, которая нам и поможет узнать где лежат логи. Идем в site.com/panel/install и жмем Update. После апдейта будут показаны имена таблиц в бд и название папки с логами например _reports. Если админ не удосужился настроить доступ к ней, то мы можем собрать все что грабит бот. Так же устанавливая ZEUS более старых версий люди не меняют дефолтных названий, так что скорее всего логи будут в _reports или _feedback.

Если у кого то есть инфа на этот счет прошу поделиться)