Не всегда это связано с дырами в Друпале. Часто на Шаред хостингах такое проявляется. Помогает замена хостера. Я сменил хостера, но у старого хостера еще был проплаченный период. Я все удалил, оставил просто пустые файлы php. Через два месяца в каталоге появились:
- файлы размером около 158к bootstrat.php defines.php и похожих названий;
- файлы размером около 2,58к response93.php article38.php css25.php заполонили все;
- в рабочие файлы php (в моем случае в пустые файлы php) записывается код закодированный eval.
Хостер не признал проблему даже после того, как я предоставил содержимое каталога (до этого пустого), хостер пытался свалить все на протокол FTP (но я им никогда не пользовался) и много всяких детских отмазок.
Предложили перейти на новый тариф (я думаю они поэтому ничего и не пытались решить, им это просто невыгодно). Замена хостера решила все проблемы.
При переезде на новый хостинг при сохранении файлов сделайте в антивирусе исключение для каталога в который сохраняете содержимое с вирусами. Иначе все уйдет в карантин. После удаление всех ненужных включений пробегитесь Айболитом (уже на новом хостинге). И забудете проблему.