Esto parece parte de un intento de explotar CVE-2018-7600 aka SA-CORE-2018-002 , la vulnerabilidad que se corrigió en Drupal 7.58 (y 8.3.9, 8.4.6 y 8.5.1). Esto estaba siendo ampliamente explotated en el momento en que esta pregunta era preguntó.
Si ya estaba ejecutando un Drupal completamente parcheado, entonces no era vulnerable a este ataque. Sin embargo, ahora se sabe que Drupal 7.58 es vulnerable a un ataque similar, por lo que debe asegurarse de actualizar a la versión más reciente, si es que aún no lo ha hecho.
En general, cualquier persona que use Drupal debe asegurarse de mantener actualizados tanto el núcleo de Drupal como cualquier módulo y tema que utilicen (esto es válido para todo el software). Drupal publica sus anuncios de seguridad, junto con información sobre cómo recibir notificaciones cuando estén disponibles, en enlace .
Si tiene algún sitio de Drupal que aún no esté no parcheado, consulte enlace .
Si está interesado, puede agregar $conf['sanitize_input_logging'] = TRUE;
a su archivo settings.php (en un sitio completamente parcheado) para habilitar el registro adicional de los intentos detectados para aprovechar este problema. Luego, comenzará a ver mensajes sobre "Claves potencialmente inseguras eliminadas ..." en su registro de vigilancia cuando se detecte un intento de explotación.
El ataque original (para Drupal 7) está en dos partes. La primera parte hace una solicitud hecha a mano a una página con un formulario, generalmente el formulario de restablecimiento de contraseña, para almacenar un valor especial en un caché; el segundo solicita la URL / file / ajax ... de una manera que engaña a la API de formulario de Drupal para que malinterprete el valor almacenado en caché y ejecute algún código contenido en él. La primera solicitud es la que se solucionará con la solución en Drupal 7.58. El segundo es lo que está viendo en el registro aquí. (La corrección adicional en Drupal 7.59 agrega desinfección adicional para ambos). El valor aleatorio es la clave de caché, conocida en el lenguaje de Drupal como el Id. De compilación del formulario.
Supongo que una vulnerabilidad de CVE-2018-7602 puede parecer similar, aunque el anuncio parece indica que este no puede ser explotado por un usuario no autenticado y, en cualquier caso, los detalles no eran públicos en ese momento.