Друзья, если у вас есть сайт на CMS Drupal версии 7 и он не обновился до 7.32 в течение 7 часов от момента публикации этого обновления, то почти со 100% вероятностью он заражён.
www.opennet.ru/opennews/art.shtml?num=40965
У меня следы взлома выглядели так: в базе появились новая роль с полным доступом и новый пользователь с этой ролью. Больше никаких изменений в базе замечено не было.
В моём случае стратегия восстановления: все contrib-модули и темы перезалить заново (что бы не было инъекций кастомного PHP), из базы эту мерзость вычистить, а весь кастомный PHP проверить. Плюс, я на всякий случай сбросил и переналил всю виртуальную машину.