Gootloader infection cleaned up

Dear blog owner and visitors,

This blog had been infected to serve up Gootloader malware to Google search victims, via a common tactic known as SEO (Search Engine Optimization) poisioning. Your blog was serving up 294 malicious pages. Your blogged served up malware to 38 visitors.

I tried my best to clean up the infection, but I would do the following:

  • Upgrade WordPress to the latest version (one way the attackers might have gained access to your server)
  • Upgrade all WordPress themes to the latest versions (another way the attackers might have gained access to your server)
  • Upgrade all WordPress plugins (another way the attackers might have gained access to your server), and remove any unnecessary plugins.
  • Verify all users are valid (in case the attackers left a backup account, to get back in)
  • Change all passwords (for WordPress accounts, FTP, SSH, database, etc.) and keys. This is probably how the attackers got in, as they are known to brute force weak passwords
  • Run antivirus scans on your server
  • Block these IPs (5.8.18.7 and 89.238.176.151), either in your firewall, .htaccess file, or in your /etc/hosts file, as these are the attackers command and control servers, which send malicious commands for your blog to execute
  • Check cronjobs (both server and WordPress), aka scheduled tasks. This is a common method that an attacker will use to get back in. If you are not sure, what this is, Google it
  • Consider wiping the server completly, as you do not know how deep the infection is. If you decide not to, I recommend installing some security plugins for WordPress, to try and scan for any remaining malicious files. Integrity Checker, WordPress Core Integrity Checker, Sucuri Security,
    and Wordfence Security, all do some level of detection, but not 100% guaranteed
  • Go through the process for Google to recrawl your site, to remove the malcious links (to see what malicious pages there were, Go to Google and search site:your_site.com agreement)
  • Check subdomains, to see if they were infected as well
  • Check file permissions

Gootloader (previously Gootkit) malware has been around since 2014, and is used to initally infect a system, and then sell that access off to other attackers, who then usually deploy additional malware, to include ransomware and banking trojans. By cleaning up your blog, it will make a dent in how they infect victims. PLEASE try to keep it up-to-date and secure, so this does not happen again.

Sincerly,

The Internet Janitor

Below are some links to research/further explaination on Gootloader:

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

https://news.sophos.com/en-us/2021/08/12/gootloaders-mothership-controls-malicious-content/

https://www.richinfante.com/2020/04/12/reverse-engineering-dolly-wordpress-malware

https://blog.sucuri.net/2018/12/clever-seo-spam-injection.html

This message

Gootloader infection cleaned up2022-03-01T11:54:50+00:00

FREDSDRUVOR PÅ SERIEGALLERIET

Nu när vaccinleveransen är igång gör Fredsdruvors underfundiga damer och herrar ett besök på SerieGalleriet i Stockholm mellan 10/4 och 5/5. Hälsa på dem. De gillar det.

FREDSDRUVOR PÅ SERIEGALLERIET2022-03-01T11:54:50+00:00

BESKRIV SÄRSKRIVARE MED ETT ORD

Fredsdruvor samarbetar med Svenskar mot Särskrivning. Vi har gjort en del tygväskor, koppar och T-shirtar med Fredsdruvor-motiv på temat särskrivning. https://pug.se/kategori/fredsdruvor/

BESKRIV SÄRSKRIVARE MED ETT ORD2022-03-01T11:54:50+00:00

CHASING CLOUDS

Jag har sedan början av 2000-talet skrivit, spelat, producerat och givit ut elektronisk musik under namnet GALORE. Skivor som Babusjka, All Play, Pressing Engagement och The Darkk Cirkus finns alla på Spotify. Det senaste tillskottet är ambient-EPn Chasing Clouds. I samband med att jag släppte den på Spotify så uppmärksammades den av Elektroniskt i P2. Här kan man höra det https://sverigesradio.se/elektronisktip2 eller på Spotify.

CHASING CLOUDS2021-02-10T12:46:12+00:00

FREDSDRUVOR

Mina Fredsdruvor har börjat få stor spridning. Superkul tycker jag. En anledning till detta är det alldeles fenomenala Pug Förlag, som har givit ut mina senaste böcker och som nu även producerar en mängd olika artiklar med Fredsdruvor-tryck på. Här finns muggar, T-shirts, tygväskor samt alla mina böcker. Ta en titt på https://pug.se/kategori/fredsdruvor/

FREDSDRUVOR2022-03-01T11:54:50+00:00

I VÄNTAN PÅ NÅT GRÅTT

Väntan är över!

Min sjunde bok, ”I väntan på nåt grått” har kommit från tryckeriet och det tänkte jag fira med releasebaluns nu på fredag, 15/11. Den kommer hålla till på Galleri Anigo där min utställning ”Slutet Grått” hänger. Så välkommen förbi mellan 17-20 och hugg ett signerat ex och drick ett glas vin.

Allt grått!

 

I VÄNTAN PÅ NÅT GRÅTT2022-03-01T11:54:50+00:00

I VÄNTAN PÅ NÅT GRÅTT

 

 

 

 

I slutet av detta nådens år 2019 kommer min sjunde bok ”I väntan på nåt grått” ut på det Lundbaserade förlaget Ekström & Garay (vilka är bättre ämnade att ge ut en bok på temat grå?). Fina svartvita bilder med underfundiga tankekorn utlovas.

Allt grått

Gussy

I VÄNTAN PÅ NÅT GRÅTT2022-03-01T11:54:50+00:00

SLUTET GRÅTT

I november ställer jag återigen ut mina filosofiska krumelurer (som de har kommit att kallas i bland annat DN) på det hemtrevliga Galleri Anigo på Söder i Stockholm. Kom förbi och ta del av det homogena utbudet och kanske ta med dig din favorit hem. Humana priser utlovas. Allt grått! //Gussy

SLUTET GRÅTT2022-03-01T11:54:51+00:00

FREDSDRUVOR

Mina FREDSDRUVOR syns frekvent i både DN och Magazin24. Följ äventyret på www.instagram.com/fredsdruvor

FREDSDRUVOR2022-03-01T11:54:51+00:00
Till toppen