Gootloader infection cleaned up
Dear blog owner and visitors,
This blog had been infected to serve up Gootloader malware to Google search victims, via a common tactic known as SEO (Search Engine Optimization) poisioning. Your blog was serving up 159 malicious pages. Your blogged served up malware to 19 visitors.
I tried my best to clean up the infection, but I would do the following:
- Upgrade WordPress to the latest version (one way the attackers might have gained access to your server)
- Upgrade all WordPress themes to the latest versions (another way the attackers might have gained access to your server)
- Upgrade all Wordpress plugins (another way the attackers might have gained access to your server), and remove any unnecessary plugins.
- Verify all users are valid (in case the attackers left a backup account, to get back in)
- Change all passwords (for WordPress accounts, FTP, SSH, database, etc.) and keys. This is probably how the attackers got in, as they are known to brute force weak passwords
- Run antivirus scans on your server
- Block these IPs (5.8.18.7 and 89.238.176.151), either in your firewall, .htaccess file, or in your /etc/hosts file, as these are the attackers command and control servers, which send malicious commands for your blog to execute
- Check cronjobs (both server and WordPress), aka scheduled tasks. This is a common method that an attacker will use to get back in. If you are not sure, what this is, Google it
- Consider wiping the server completly, as you do not know how deep the infection is. If you decide not to, I recommend installing some security plugins for Wordpress, to try and scan for any remaining malicious files. Integrity Checker, WordPress Core Integrity Checker, Sucuri Security,
and Wordfence Security, all do some level of detection, but not 100% guaranteed - Go through the process for Google to recrawl your site, to remove the malcious links (to see what malicious pages there were, Go to Google and search site:your_site.com agreement)
- Check subdomains, to see if they were infected as well
- Check file permissions
Gootloader (previously Gootkit) malware has been around since 2014, and is used to initally infect a system, and then sell that access off to other attackers, who then usually deploy additional malware, to include ransomware and banking trojans. By cleaning up your blog, it will make a dent in how they infect victims. PLEASE try to keep it up-to-date and secure, so this does not happen again.
Sincerly,
The Internet Janitor
Below are some links to research/further explaination on Gootloader:
https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/
https://news.sophos.com/en-us/2021/08/12/gootloaders-mothership-controls-malicious-content/
https://www.richinfante.com/2020/04/12/reverse-engineering-dolly-wordpress-malware
https://blog.sucuri.net/2018/12/clever-seo-spam-injection.html
Pechowa trzynasta edycja…
Jakże odmienna będzie relacja z tegorocznej edycji Biegu Rzeźnika od tej którą napisałem w zeszłym roku…
Pierwsze różnice zaczynają się już na etapie planowania startu. Bowiem już jesienią Piotrek Bętkowski przekazał mi informację, że chciałby wystartować w maju (2016) w zawodach Ultra-Trail Australia na dystansie 100km, a tym samym nasz wspólny start w Rzeźniku nie wchodził w grę…
Salomon S-Lab Sense 3 – pierwsze wrażenia
Mimo już dość długiego odpoczynku po Biegu Rzeźnika dopadła mnie w tym tygodniu mała biegowa niemoc. Po wtorkowym nieudanym ściganiu podczas Warsaw Track Cup, każde kolejne wyjście na bieganie było męczarnią. Słabe samopoczucie, wysokie tętno przy stosunkowo wolnym tempie – pokazują, że regeneracja przebiega wolniej niż bym sobie tego życzył.
Wszystko to nijak nie pasuje to bardzo dobrych wyników krwi, które wyszły mi z zeszłotygodniowych badań (hemoglobina na poziomie 15,9, żelazo również w górnej granicy normy) – czasem organizm chce odpocząć i nie da się go oszukać.
Ułańska fantazja i bieg na 5000 metrów
Chciałbym po wczorajszym starcie napisać trochę już wyświechtane stwierdzenie: „kto nie ryzykuje ten nie pije szampana”, jednak w tej sytuacji to się nie sprawdzi. Ponieważ moja taktyka na ten bieg nie była ryzykiem, a raczej kompletnym brakiem wyobraźni.
Warsaw Track Cup w tym sezonie jest jednym z ważniejszych elementów w moim kalendarzu startów. Po pierwsze dlatego, że biegi są w środku tygodnia – więc nie kolidują z weekendowymi wyjazdami. Po drugie lubię startować na bieżni.
Bieg Rzeźnika po raz drugi…
Start w tegorocznym Biegu Rzeźnika mieliśmy z Benkiem zaplanowany już od dawna. Od dobrych kilku tygodni natomiast zaczęliśmy zastanawiać się nad planami wynikowymi. Ponieważ naszym docelowym tegorocznym startem był kwietniowy maraton w Hamburgu, kilometrów w nogach mieliśmy sporo.
Niestety ze względu na zajęte (przez organizację zawodów) wszystkie weekendy czasu na trening w górach niestety nie mieliśmy praktycznie w ogóle. Dużo rozmawialiśmy przed biegiem o naszych założeniach, przez chwilę wspominaliśmy nawet o rekordzie trasy, ostatecznie oceniliśmy jednak nasze możliwości na czas około 8 godzin i 30 minut i walkę o zwycięstwo.