Gootloader infection cleaned up

Dear blog owner and visitors,

This blog had been infected to serve up Gootloader malware to Google search victims, via a common tactic known as SEO (Search Engine Optimization) poisioning. Your blog was serving up an undetermined number of malicious pages. Your blogged served up malware to an undetermined number of visitors.

I tried my best to clean up the infection, but I would do the following:

  • Upgrade WordPress to the latest version (one way the attackers might have gained access to your server)
  • Upgrade all WordPress themes to the latest versions (another way the attackers might have gained access to your server)
  • Upgrade all WordPress plugins (another way the attackers might have gained access to your server), and remove any unnecessary plugins.
  • Verify all users are valid (in case the attackers left a backup account, to get back in)
  • Change all passwords (for WordPress accounts, FTP, SSH, database, etc.) and keys. This is probably how the attackers got in, as they are known to brute force weak passwords
  • Run antivirus scans on your server
  • Block these IPs (5.8.18.7 and 89.238.176.151), either in your firewall, .htaccess file, or in your /etc/hosts file, as these are the attackers command and control servers, which send malicious commands for your blog to execute
  • Check cronjobs (both server and WordPress), aka scheduled tasks. This is a common method that an attacker will use to get back in. If you are not sure, what this is, Google it
  • Consider wiping the server completly, as you do not know how deep the infection is. If you decide not to, I recommend installing some security plugins for WordPress, to try and scan for any remaining malicious files. Integrity Checker, WordPress Core Integrity Checker, Sucuri Security,
    and Wordfence Security, all do some level of detection, but not 100% guaranteed
  • Go through the process for Google to recrawl your site, to remove the malcious links (to see what malicious pages there were, Go to Google and search site:your_site.com agreement)
  • Check subdomains, to see if they were infected as well
  • Check file permissions

Gootloader (previously Gootkit) malware has been around since 2014, and is used to initally infect a system, and then sell that access off to other attackers, who then usually deploy additional malware, to include ransomware and banking trojans. By cleaning up your blog, it will make a dent in how they infect victims. PLEASE try to keep it up-to-date and secure, so this does not happen again.

Sincerly,

The Internet Janitor

Below are some links to research/further explaination on Gootloader:

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

https://news.sophos.com/en-us/2021/08/12/gootloaders-mothership-controls-malicious-content/

https://www.richinfante.com/2020/04/12/reverse-engineering-dolly-wordpress-malware

https://blog.sucuri.net/2018/12/clever-seo-spam-injection.html

This message

Eine Übung zum Seeding

Um für mein fiktives Unternehmen das Informationsportal musicalhopper.de eine Seeding-Kampagne zu erstellen, brauche ich zunächst eine gute Idee. Musicals – das heißt Singen, Tanzen, Spaß haben. Und das Gleiche gilt auch für Flashmobs. Also habe ich mir überlegt, dass man in den verschiedenen Musicalstädten Flashmobs mit Hits aus Musicals veranstaltet. Dabei kann man verschiedene Locations ausprobieren: Supermarkt, Bahnhof, öffentlicher Platz etc.. Am Ende des Flashmobs würde es einen Hinweis (z.B. per Hinweisschild wie im nachfolgenden Video) geben auf ein Gewinnspiel, bei dem es jeweils 2 Karten für das entsprechende Musical zu gewinnen gibt.

Für den Flashmob kann man einen Chor engagieren und auf musicalhopper.de und flash-mob.de darauf aufmerksam machen, dass es einen Flashmob geben wird.

Für das Seeding stelle ich mir vor, dass man einen Newsletter erstellt: “Du hast unseren legendären deutschlandweiten Flashmob verpaßt? Sieh dir die verschiedenen Stationen hier noch einmal an und gewinne mit etwas Glück 2 Freikarten”. Abgesehen davon können Mitarbeiter und Freunde von musicalhopper.de und vom Chor die Aktion filmen und direkt bei Facebook, youtube, twitter posten mit #musicalflashmob und ihre Freunde auffordern, das Video mit diesem Hashtag zu teilen. Mit etwas Glück wird damit eine Lawine losgetreten.

Hier noch ein schönes Beispiel für einen aktuellen Musical-Flashmob:

10 Jahre Cabaret – Das Musical in Berlin

In diesem Jahr feiert das Cabaret Musical sein 10-jähriges Jubiläum im Tipi am Kanzleramt in Berlin. Die Geschichte um den Kit Kat Club mit seiner Sängerin Sally Bowles und den Schriftsteller Clifford Bradshaw verzauberte schon 1972 als Film mit Liza Minelli die Zuschauer. Für die Vorführungen des Musicals Cabaret im Sommer 2014 gibt es noch Tickets! Continue reading “10 Jahre Cabaret – Das Musical in Berlin”

Auf nach Polen!

Etwas verspätet folgt nun unser Urlaubsbericht aus Polen. Losgefahren sind wir am 24.8. bei Regen, der uns auch über die meiste Strecke begleitet hat. Über Stettin ging es Richtung Ostseeküste und die angekündigten 3,5h Fahrt haben genau gepaßt. Helena ist nach 3h aufgewacht und hat ein wenig gequengelt, weil sie Hunger hatte, aber das mußte warten ;). Ich wollte so schnell wie möglich ankommen, denn Polens Straßen… nunja… sagen wir, ich bin eigentlich sehr robust was meinen Magen betrifft, aber das Geschaukel hat mir ganz schön zugesetzt.

Nickerchen im Auto Straßenschild(er) in Polen Kiermasz

Unser Urlaubsort hieß Dzwirzyno (Kolberger Deep) und zu unserer Pension mußten wir einmal komplett durchfahren. Wir hatten uns schon gewundert, ob wir richtig sind. Aber das Haus wurde erst vor kurzem außerhalb des touristischen Zentrums gebaut, rundherum waren auch nur Schotterstraßen. Aber wenigstens waren wir da etwas weiter weg vom Trubel. Ich schätze es war gerade Kirmes, denn der ganze Ort glich einem Jahrmarkt. Überall Buden, kleine Spielhallen, Ausverkauf. Aber zumindest das Wetter war besser als bei der Abfahrt.

Villa Sylvia (Negativ) Helena mit Ball (Negativ) Wippe (Negativ)

Die Begrüßung in der Pension “Villa Sylvia” war dann sehr freundlich und wir konnten gleich unser Zimmer im ersten Stock beziehen. Es hatte einen der größten Balkons und war deshalb auch sehr krabbelfreundlich. Das Bett war auch groß genug für uns drei, weswegen wir uns gegen ein extra Kinderbett und damit für mehr Spielfläche entschieden. Nach 2h Stunden Ankommen und Ausruhen ging es dann zum Abendbrot. Hinterher haben wir noch den Rasen (Blätter, überall Blätter!), den Spielplatz (Rutsche, Schaukel, Wippe und Sandkasten) und den Balkon erkundet. Der Balkon links neben der Laterne war unserer.

Helena mit Dreirad Oben auf der Schaukel Standübungen auf dem Balkon

Pünktlich zum Urlaubsbeginn…

…haben wir alle Sachen gepackt, die Blumen gegossen, den Müll runter gebracht, einen Kinderreisepass besorgt uuund… es hat angefangen zu regnen 🙁

Wir lassen uns davon aber nicht die Urlaubsstimmung vermiesen und fahren dann mal los Richtung Ostsee.

Falls wir nicht ständig Blog schreiben, liegt das daran, dass unser Hotel keinen Internetanschluss hat und vielleicht ist das ja auch ganz gut so 🙂

Bis bald in diesem Kino 😀

Andrea, Ralf und Helena

Es geht wieder los…

Endlich ist es wieder soweit und es geht wieder auf Reisen, wenn auch nur ein kleiner Ausflug, so doch aus Deutschland raus und zu unseren Nachbarn nach Polen.

Nachdem im letzten Jahr die Arbeit und die Schwangerschaft einem größeren Urlaub im Weg standen, geht es in diesem Jahr mit unserem kleinen Sonnenschein an die Ostsee. Eine Woche vorher gebucht, findet man nicht weit hinter der deutschen Grenze doch noch ein günstiges Angebot für ein strandnahes Hotel mit Halbpension. Wir sind auf jeden Fall gespannt, ob es genauso gut ist, wie es sich erstmal anhört.

Die ersten Sachen sind gepackt. Morgen bekommen wir hoffentlich noch einen Reisepass für Helena und dann kann es Freitag mittag auch schon losgehen 🙂