Логи, тут особо бесполезны, кроме совсем примитивных взломов. Для их анализа я бы пошел от обратного:
1) Объединил бы все логи по дням от каждой программы в свой один большой файл (apache.log, nginx.log ..)
2) Смотрел бы внутрь, выделял бесполезные паттерны и вычищал бы их
В итоге получился бы файлик с подозрительными штуками, которые и анализировал бы. Но, для этого надо иметь богатый опыт, чтобы понимать что важно, а что нет
Поиск проблемы, лучше всего начать с анализа заголовков писем (ip, mailer и т.д.). Потом посмотреть кроны и пройтись поиском, по скриптам сайтов, на предмет mail / eval / base64 функций. Так же можно, на время подменить sendmail на bash скрипт, который перед отправкой писем будет вести лог вызвавшего его процесса и информации о нем. Все эти операции, совсем не простые, поэтому делать их надо очень осторожно, особенно на боевом сервере.
