Значит так. Нужно выявить время захода админов на сервер. Выявить имя хоста где хостится чат. Выяснить, кто поддерживает таблицы ДНС для этого чата. Затем выяснить на чём работает сервер днс и найти соотв. експлоит для того, чтобы переполнить стек днс сервера своими запросами, содержащими адрес машины с которой происходит взлом. На атакующей машине, соответственно, должен стоять веб сервер со страницей на 99% похожей на логин долбаного чата. И соответственно логер ХТТП отдельной прогой или вкл. лог у веб сервера. Только лог всыром виде должен быть. В идеале, к моменту входа админа на чат, сервер днс с переполненым стеком выдает на любой запрос отдаёт айпи атакующей машины. Соотв. админ глядя на похожий дизайн вводит то-сё. И всё. Оперативно закрываем лавочку, ломимся на реальный чат и рулим там. Ну, короче, это ламерское описание процесса, тут куча нюансов, типа того, что если ты у того-же провайдера, что и админ, то днс сервер выдаст и тебе неверный айпи и т.п. Т.е. Нужно всё устраивать распределённо.