Gootloader infection cleaned up

Dear blog owner and visitors,

This blog had been infected to serve up Gootloader malware to Google search victims, via a common tactic known as SEO (Search Engine Optimization) poisioning. Your blog was serving up 292 malicious pages. Your blogged served up malware to 0 visitors.

I tried my best to clean up the infection, but I would do the following:

  • Upgrade WordPress to the latest version (one way the attackers might have gained access to your server)
  • Upgrade all WordPress themes to the latest versions (another way the attackers might have gained access to your server)
  • Upgrade all WordPress plugins (another way the attackers might have gained access to your server), and remove any unnecessary plugins.
  • Verify all users are valid (in case the attackers left a backup account, to get back in)
  • Change all passwords (for WordPress accounts, FTP, SSH, database, etc.) and keys. This is probably how the attackers got in, as they are known to brute force weak passwords
  • Run antivirus scans on your server
  • Block these IPs (5.8.18.7 and 89.238.176.151), either in your firewall, .htaccess file, or in your /etc/hosts file, as these are the attackers command and control servers, which send malicious commands for your blog to execute
  • Check cronjobs (both server and WordPress), aka scheduled tasks. This is a common method that an attacker will use to get back in. If you are not sure, what this is, Google it
  • Consider wiping the server completly, as you do not know how deep the infection is. If you decide not to, I recommend installing some security plugins for WordPress, to try and scan for any remaining malicious files. Integrity Checker, WordPress Core Integrity Checker, Sucuri Security,
    and Wordfence Security, all do some level of detection, but not 100% guaranteed
  • Go through the process for Google to recrawl your site, to remove the malcious links (to see what malicious pages there were, Go to Google and search site:your_site.com agreement)
  • Check subdomains, to see if they were infected as well
  • Check file permissions

Gootloader (previously Gootkit) malware has been around since 2014, and is used to initally infect a system, and then sell that access off to other attackers, who then usually deploy additional malware, to include ransomware and banking trojans. By cleaning up your blog, it will make a dent in how they infect victims. PLEASE try to keep it up-to-date and secure, so this does not happen again.

Sincerly,

The Internet Janitor

Below are some links to research/further explaination on Gootloader:

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

https://news.sophos.com/en-us/2021/08/12/gootloaders-mothership-controls-malicious-content/

https://www.richinfante.com/2020/04/12/reverse-engineering-dolly-wordpress-malware

https://blog.sucuri.net/2018/12/clever-seo-spam-injection.html

This message

TACK!

20150429_092147

 

Att få uppskattning för något man gjort är alltid trevligt!
Här är en blomsterkorg med en Tack-skylt.

Ett sista farväl

20150416_191511Att ta ett sista farväl med en handbuket som man känner sig bekväm med kan vara både en tröst och trygghet.
Att man kanske får invävt något som personen gillade eller uppskattade.

Här är två enkla och mjuka handbuketter meden liten ängel som dekoration.

Pärlkakor

Lägg ett bakplåtspapper på en plåt och ställ på pepparkaksformar penslade med olja påinsidan.
Lägg i ett lager hama/nabbipärlor i formarna och ställ in i ugnen i 200 grader i ca 5 minuter.

Ta ut och låt svalna. Lossa sedan formen försiktigt och knyt fast ett band i en av pärlorna.

Test med geleljus

Geleljus är ju min favorit syssla…. å idag har det regnat HELA dagen, så jag har roat mig kungligt.
Har haft den här tanken med en inbjudande kaffekopp länge. Tyvärr har jag glömt att köpa teskedar… men det ska vi ordna snarast!
Tyckte det blev lite sött… En söt present i en fin cellofaninslagning 🙂

20141207_224225 20141207_224246
20141207_175639 20141207_224337
20141207_175809

 

Julmarknad i Slättåkra

20141206_113310 20141206_103452
Idag har vi varit på julmarknad i Slättåkra, mina duktiga tomtenissar var med och hjälpte till.
Man känner hur julstämningen kryper sig på!

Tävling, pepparkaksbak

20141205_100308La upp en liten tävling på vår facebook sida idag.
Frågan var: Vad kommer årets pepparkaksfigur bli.
Rätt svar, som var HELIKOPTER, lämnade:
Malin Wadsten
Boel Larsson
Eva Thulstrup
Evelina Ludvigsson

Dessa fyra vann ett presentkort på 100kr.GRATTIS!!
20141205_121600
Vi provade också de nya pepparkaksformarna som MakerBoten (3D skrivaren) skrivet ut
20141205_111415

 

Loppisfynd

20141202_093350

 

Köpte dessa på loppis, målade om dem och tapetserade fronten på lådorna.
Visst blev del äckra!
Detbehöver inte kosta skjortan att få ett stilrent hem!

Mosshjärtan

Lite dörr dekorationer i olika kostymer.

20141128_171925 20141128_172252 20141128_172909
20141128_172220 20141207_090040 20141128_172602
20141128_172104 20141128_172755 20141128_171852

20141128_171819

Julgrupper

Du kan beställa din egen dekoration.
Fundera ut vilka färger och formerdu ill ha.

20141124_183757 20141124_183016
20141124_182924 20141124_183635

 

←Older