Hola, el ataque ese seguramente te lleva a esa web y por medio de sockets se lleva una cookie o algo la verdad no estoy muy al tanto de CURL.
Lo primero que deberiamos identificar es como se metio ese codigo en tu pagina, alguna vulnerabilidad del ftp, o alguna otra cosa... donde encontraste el codigo ese?
esta en todas las paginas?

saludos