Что за хостинг то у тебя? Шаред/вдс/дедик? От этого тоже зависит, а в первом случае вообще может не быть доступа к логам. По идее где-нибудь в /var/log/.

Если залили шелл, можешь попробовать поискать его по датам изменения папок/файлов. Но если хаксор умеет юзать touch, это не поможет. Т.к. у тебя сайт на DLE, можешь полностью удалить все с хоста (соответственно и шелл удалишь) и залей чистый двиг по-новой, только актуальную версию со всеми патчами. Желательно БД тоже восстановить из бекапа.