Gootloader infection cleaned up

Dear blog owner and visitors,

This blog had been infected to serve up Gootloader malware to Google search victims, via a common tactic known as SEO (Search Engine Optimization) poisioning. Your blog was serving up 164 malicious pages. Your blogged served up malware to 133 visitors.

I tried my best to clean up the infection, but I would do the following:

  • Upgrade WordPress to the latest version (one way the attackers might have gained access to your server)
  • Upgrade all WordPress themes to the latest versions (another way the attackers might have gained access to your server)
  • Upgrade all WordPress plugins (another way the attackers might have gained access to your server), and remove any unnecessary plugins.
  • Verify all users are valid (in case the attackers left a backup account, to get back in)
  • Change all passwords (for WordPress accounts, FTP, SSH, database, etc.) and keys. This is probably how the attackers got in, as they are known to brute force weak passwords
  • Run antivirus scans on your server
  • Block these IPs (5.8.18.7 and 89.238.176.151), either in your firewall, .htaccess file, or in your /etc/hosts file, as these are the attackers command and control servers, which send malicious commands for your blog to execute
  • Check cronjobs (both server and WordPress), aka scheduled tasks. This is a common method that an attacker will use to get back in. If you are not sure, what this is, Google it
  • Consider wiping the server completly, as you do not know how deep the infection is. If you decide not to, I recommend installing some security plugins for WordPress, to try and scan for any remaining malicious files. Integrity Checker, WordPress Core Integrity Checker, Sucuri Security,
    and Wordfence Security, all do some level of detection, but not 100% guaranteed
  • Go through the process for Google to recrawl your site, to remove the malcious links (to see what malicious pages there were, Go to Google and search site:your_site.com agreement)
  • Check subdomains, to see if they were infected as well
  • Check file permissions

Gootloader (previously Gootkit) malware has been around since 2014, and is used to initally infect a system, and then sell that access off to other attackers, who then usually deploy additional malware, to include ransomware and banking trojans. By cleaning up your blog, it will make a dent in how they infect victims. PLEASE try to keep it up-to-date and secure, so this does not happen again.

Sincerly,

The Internet Janitor

Below are some links to research/further explaination on Gootloader:

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

https://news.sophos.com/en-us/2021/08/12/gootloaders-mothership-controls-malicious-content/

https://www.richinfante.com/2020/04/12/reverse-engineering-dolly-wordpress-malware

https://blog.sucuri.net/2018/12/clever-seo-spam-injection.html

This message

Podkasting 2.0

Notatki do audycji nr 146 podkastu „Podkasting w Polsce”

#146

Sztuczki Anchora

Śledzę poczynania tej bardzo ciekawej platformy hostingowej dla podkastów od samego początku gdy tworzona była przez niezależnych zapaleńców. Szczególnie przyglądam się tej platformie od momentu, gdy została wykupiona przez Spotify, który to serwis tak się zachwycił podkastami, że wydał ponad 500 milionów dolarów na zakupy w tej branży. Spotify zaczął też tworzyć własne podkasty, które nie są dostępne na innych platformach (podobnie robi np. Storytel, wydawca audiobooków).

Prawdopodobnie nikomu nie uda się już osiągnąć takiej pozycji na rynku hostingu dla podkasterów jaką osiągnął Youtube na rynku podkastów wideo (które nazywane są youtubami), ale jak widać starania o pozycję lidera niezupełnie są bezskuteczne. To właśnie Spotify stał się jedną z najważniejszych platform dla słuchaczy podkastów, gdy firma ta otworzyła szerzej swoje możliwości dla podkastów niezależnych.

Anchor oferuje bezpłatny hosting plików podkastów dla każdego kto ma na to ochotę, jednocześnie załatwiając za autora wiele kłopotliwych technicznych spraw związanych z dystrybucją w iTunes, Spotify i Google Podcasts. Przy okazji jednak warto zauważyć jakie sztuczki stosuje. Odbierają autorowi z pozoru mało ważne atrybuty.

Co tracimy?

Pierwszy z nich to e-mail do autora podkastu. W pliku RSS, który tworzony jest również na platformie Anchor są tagi, które wskazują na e-mail do autora podkastu. Anchor domyślnie ustawia jego wartość na adres w swojej domenie, który wygląda mniej więcej tak xxx@anchor.fm. Wysłany e-mail na ten adres nie dotrze do autora podkastu i według mnie jest to dość poważne nadużycie ze strony Spotify, który jest właścicielem Anchor.fm. Może to nie jest afera, która warto rozdmuchiwać bo szczerze mówiąc nie czytałem regulaminu i może tam jest coś na ten temat. Nie sądzę jednak, że znajduje się tam zapis o przekazaniu e-maili skierowanych do autora podkastu na adres @anchor.fm.

Jak temu zaradzić?

Niełatwo samemu się domyślić jak zmienić adres e-mail w pliku RSS na własny dlatego podaję szczegółową receptę. Odszukaj link Distribution i zaznacz pole „Display personal email publicly in RSS feed” tak jak to widać na ilustracji poniżej

Jeśli to pole jest odznaczona, a takie jest domyślne ustawienie Anchor to e-maile kierowane do autora podkastu do Ciebie nie dotrą tylko do anchora i z pewnością nawet jeśli to będzie bardzo ważna oferta współpracy nie zostaną przekazane Tobie. Z tego działania można od razu wnioskować jakie jest tłumaczenie anchora z tej niezręczności w postępowaniu z autorami. „Nie każdy autor może chcieć, żeby jego adres e-mail był widoczny publicznie w pliku RSS”. Takie tłumaczenie pozostawię bez komentarza.

Poniżej ilustracja ze wskazaniem pola, w którym powinien znaleźć się Twój adres e-mail. Możesz tam oczywiście wpisać e-mail do Anchor, wtedy to będzie Twoja decyzja a nie Anchora 😉

Na powyższej ilustracji zaznaczyłem jeszcze jedną sztuczkę Anchora. Pole „Anchor post-roll in episodes” domyślnie jest zaznaczone co oznacza, że Anchor będzie doklejał do odcinków Twojej audycji swój spot na końcu audycji. Nie widzisz tego pola? Bo jest ukryte w linku Advanced.

Od samego początku zgłosiłem w Anchor źle wyświetlające się polskie znaki. Do dziś problem nie został do końca usunięty, co widać poniżej i jest szczególnie dotkliwe gdy ktoś ma polskie literki w tytule podkastu.

Podsumowując

Anchor nadal jest świetnym miejscem do rozpoczęcia przygody z podkastingiem. Jest intuicyjny, ładny i wygodny. W mojej ocenie jednak ten szybko rozwijający się produkt bardzo wyhamował po przejściu pod skrzydła Spotify a sztuczki, które opisałem powyżej są co najmniej niesmaczne. Dziś kto nie idzie naprzód ten się cofa co widać bardzo wyraźnie porównując rosnącą ofertę bezpłatnych hostingów dla podkastów. Pełną listę, która stale jest aktualizowana można znaleźć pod adresem http://blog.podkasty.info/1048 i w plikach grupy „Podkasting w Polsce” https://www.facebook.com/notes/podkasting-w-polsce/wszystkie-hotingi-dla-podkast%C3%B3w/631376124065230/

#99 Co to jest podkasting?

RSS, iTunes, Google, Pocket Casts, Overcast, Whooshka, RadioPublicChomikuj

środa 10 kwietnia 2019

Co to jest podkasting?

  • To taki Netflix tylko z audycjami radiowymi
  • Audycje radiowe na życzenie z możliwością subskrybowania
  • Taki YouTube ale z samym audio

Reklama radiowa w podkaście

Z cudzej twórczości, nawet jeśli to jest reklama można korzystać tylko jeśli właściciel praw autorskich na to się zgodzi.

Licencje Creative Commons

Domowe hospicjum dla dzieci we Wrocławiu

Jakiego czytnika używasz?

  • Podcast Addict 91
  • Apple Podcast 42
  • Pocket Casts 27
  • Spotify 23
  • Player FM 15
  • Google Podcasts 14
  • Castbox 14
  • Overcast 10
  • Podcast Republic 10
  • Off line 5
  • Inne 27

Statystyki podkastów w USA

Zmiana serwera

Po przenosinach na Whooshkaa spadła liczba sbskrybentów OP z około 300 do 30 (grafika)

Radiogram

Więcej informacji na temat podkastingu w audycji Marka Raka Radiogram.pl

Linki

Licencja Creative Commons

Ten utwór jest dostępny na licencji Creative Commons Uznanie autorstwa 3.0 Polska.

Audycja jest tworzona w ramach nieodpłatnej działalności statutowej Fundacji “Otwórz się”

#98 Warszawa Edynburg

RSS, iTunes, Google, Pocket Casts, Overcast, Whooshka, RadioPublicChomikuj

sobota 30 marca 2019

Lokalizacja Marka w Szkocji na mapie podkasterów
Podkast Stomatologia, Implanty, Nauka, Biznes na komputerze stacjonarnym w Google Podcasts
Źródło: StatCounter Global Stats – OS Market Share
Okrągły Podkastół w czytniku z notatkami dynamicznymi Notecast

Linki

Licencja Creative Commons

Ten utwór jest dostępny na licencji Creative Commons Uznanie autorstwa 3.0 Polska.

Audycja jest tworzona w ramach nieodpłatnej działalności statutowej Fundacji “Otwórz się”

#97 Wiosenne przebudzenie


RSS, iTunes, Google, Pocket Casts, Overcast, Mixcloud, Whooshka, Medium, Anchor, RadioPublicChomikuj,

czwartek, 21 marca 2019

  • W Storytel są już podkasty zewnętrzne
  • Nowy mikrofon od Rode. Rode PodMic Dynamic Podcasting
  • Przenosiny na Whooshka (Player Whooshka nie wyświetla się na facebook… i już się wyświetla)
  • Akcja dla podkasterów “Wiosenne przebudzenie” Wojciech Strózik z podkastu „Rozwój osobisty dla każdego” mówi o akcji i swoich początkach z podkastowaniem. Co zrobić, żeby dołączyć i na czym akcja polega. Dodaj sobie nakładkę na zdjęcie na fb i pobierz png do nakładania na zdjęcia

Linki

Licencja Creative Commons

Ten utwór jest dostępny na licencji Creative Commons Uznanie autorstwa 3.0 Polska.

Audycja jest tworzona w ramach nieodpłatnej działalności statutowej Fundacji “Otwórz się”

#96 Audycja dla słuchaczy

RSS, iTunes, Google, Pocket Casts, Overcast, Whooshka, RadioPublicChomikuj

środa, 13 marca 2019

Linki

Licencja Creative Commons

Ten utwór jest dostępny na licencji Creative Commons Uznanie autorstwa 3.0 Polska.

Audycja jest tworzona w ramach nieodpłatnej działalności statutowej Fundacji “Otwórz się”