Ok, queda claro que es otro ataque, gracias por tu explicacion Mario, pero no me has contestado a la otra pregunta.

¿Que este escribiendolo en un campo FILTERED HTML es lo que 'me salva' del ataque?
Es decir, si fuera FULL HTML... ¿mi Drupal se romperia?

Por que el captcha (que SI que lo tengo instalado) no lo veo muy enfocado a la seguridad en este aspecto. LO unico que evitaria seria una publicacion masiva ¿no?