Некоторые хозяева ботнетов не додумываются удалить папку install и настроить доступ к папке логов.
Основная задача - найти где хостятся ботнеты и в какой папке размещена панель.

Поиск с помощью дорка в Google:

code:


Или собираем вредные exe'шники, запускаем на виртуальной машине и читаем логи с Wireshark'a. Там будут показаны все адреса к которым коннектится бот.

Или следим за трэкерами. Пример

code:


Далее все просто. К примеру бот расположен на site.com/panel/. Некоторые не утруждаются удалить install, которая нам и поможет узнать где лежат логи. Идем в site.com/panel/install и жмем Update. После апдейта будут показаны имена таблиц в бд и название папки с логами например _reports. Если админ не удосужился настроить доступ к ней, то мы можем собрать все что грабит бот. Так же устанавливая ZEUS более старых версий люди не меняют дефолтных названий, так что скорее всего логи будут в _reports или _feedback.

Если у кого то есть инфа на этот счет прошу поделиться)