Musste die Seite wegen Drupalgeddon vom Netz nehmen. Hatte definitv einen Account ohne Mailadresse von irgendeinem Angreifer in der Datenbank sowie einen entsprechenden Eintrag in user_roles. Letzterer glücklicherweise(?) mit ungültiger Role-ID, so dass der Account erstmal noch nicht priviligiert war. Die gängigen Audit-Tools haben nichts Verdächtiges ausgegeben.

Habe die ganze Codebasis inkl. aller Module in frischem Verzeichnis neu aufgesetzt. Anschliessend die alte Datenbank (jaja ich weiß...:/) bis auf user/user_roles/system/menu_router Tabellen wieder drübergebügelt.

Mehr kann ich jetzt erstmal nicht tun, strenggenommen muss sowieso der ganze Rootserver als kompromitiert angesehen werden, es laufen hier ja auch noch diverse andere D7-Installationen von denen mehrere ebenfalls erfolgreich angegriffen wurden.

Es besteht m.E. eine gewisse Wahrscheinlichkeit, dass die Dinge die man sehen konnte, der automatisierte Teil der Attacke zum Aufmachen der Drupal-Installationen war und Weiteres noch gar nicht passiert ist. Leider wird man da nie sicher sein können :/