Итак.. детектив продолжается-)
Вторая серия.

Логирования изменения блоков в стандартной сборке друпал нет.
Можно поискать в логах сервера обращение к урлу страницы редактирования нужного блока.
Там будет IP пользователя.
По IP можно попробовать узнать примерное местоположение пользователя(провайдера,город, область и т.п.)

Если включен модуль Statistics то все намного проще.
Поиск будет так же по урлу.
Там же будет и имя пользователя, но его я Вам и так могу сказать: злоумышленник заходил под логином "главного" админа.

hook_block_save
+
watchdog

Еще версия.
Если в текстовых фильтрах для ролей разрешено использование ява-скриптов, этот код можно было вставить ява-скриптом, когда страницу с этим скриптом открывал главный админ.

Эта технология взлома когда-то гдето хорошо освещалась..
Возможно даже сдесь.

Слишком замудрено, но как версия...

Вывод - не доверяйте использовать в текстовых полях ява-скрипт неблагонадежным пользователям.. а лучше всем..

useronforum wrote:

watchdog есть, но он статистику за несколько лет не ведёт.

Если есть подозрение, что это могло случиться несколько лет назад, то к гадалке не ходи - 99%, что это сделал юзер под ником drupaldev в конце 2014 года. Вы, кстати, в другом топике так и не ответили, есть ли левые юзеры с админскими правами. Особое внимание стоит обратить на всех, кто зарегился 1 января 1970 года.

Ну вообще разрешение на создание блоков кому-то кроме админа - это уже сама по себе гениальная вещь.