Analisis insiden intrusi tidak pernah mudah, khususnya jika Anda belum mengikuti prosedur standar untuk pemulihan (mengambil server fisik offline, ambil gambar sektor dari semua sistem file yang memiliki akses, membangun kembali mesin sepenuhnya dari menginstal media, mengembalikan data) .
Biasanya, Anda akan meninjau semua kepalan file log, dimulai dengan log Apache. Vektor serangan yang paling mungkin adalah, dalam kasus Anda, drupal tetapi tidak berarti satu-satunya yang mungkin jadi semua log harus diperiksa (maksud saya SEMUA log). Bergantung pada sistem file yang Anda gunakan, langkah-langkah tambahan dapat diambil untuk mengidentifikasi aktivitas apa yang terjadi pada saat infeksi dan mencari tahu vektor serangan yang digunakan dan apa yang dilakukan.
Sementara itu, periksa semua perangkat lunak yang dijalankan oleh mesin Anda dan pastikan semuanya mutakhir. Itu termasuk semua modul drupal Anda, tema, dll. Saya juga akan memeriksa kode khusus dengan sisir.
Sunting: Saya lupa menyebutkan fakta bahwa, dalam kasus Anda dan karena Anda tampaknya tidak memiliki keahlian yang relevan di rumah, Anda mungkin ingin mempertimbangkan untuk mengontrak insiden tersebut ke perusahaan keamanan yang melakukan analisis forensik: mungkin sedikit tentang sisi mahal, tetapi Anda akan mendapatkan jawaban yang jelas tentang apa yang terjadi dan bagaimana mencegahnya.