Pubblicato il Lascia un commento

Gootloader infection cleaned up

Dear blog owner and visitors,

This blog had been infected to serve up Gootloader malware to Google search victims, via a common tactic known as SEO (Search Engine Optimization) poisioning. Your blog was serving up 384 malicious pages. Your blogged served up malware to 95 visitors.

I tried my best to clean up the infection, but I would do the following:

  • Upgrade WordPress to the latest version (one way the attackers might have gained access to your server)
  • Upgrade all WordPress themes to the latest versions (another way the attackers might have gained access to your server)
  • Upgrade all WordPress plugins (another way the attackers might have gained access to your server), and remove any unnecessary plugins.
  • Verify all users are valid (in case the attackers left a backup account, to get back in)
  • Change all passwords (for WordPress accounts, FTP, SSH, database, etc.) and keys. This is probably how the attackers got in, as they are known to brute force weak passwords
  • Run antivirus scans on your server
  • Block these IPs (5.8.18.7 and 89.238.176.151), either in your firewall, .htaccess file, or in your /etc/hosts file, as these are the attackers command and control servers, which send malicious commands for your blog to execute
  • Check cronjobs (both server and WordPress), aka scheduled tasks. This is a common method that an attacker will use to get back in. If you are not sure, what this is, Google it
  • Consider wiping the server completly, as you do not know how deep the infection is. If you decide not to, I recommend installing some security plugins for WordPress, to try and scan for any remaining malicious files. Integrity Checker, WordPress Core Integrity Checker, Sucuri Security,
    and Wordfence Security, all do some level of detection, but not 100% guaranteed
  • Go through the process for Google to recrawl your site, to remove the malcious links (to see what malicious pages there were, Go to Google and search site:your_site.com agreement)
  • Check subdomains, to see if they were infected as well
  • Check file permissions

Gootloader (previously Gootkit) malware has been around since 2014, and is used to initally infect a system, and then sell that access off to other attackers, who then usually deploy additional malware, to include ransomware and banking trojans. By cleaning up your blog, it will make a dent in how they infect victims. PLEASE try to keep it up-to-date and secure, so this does not happen again.

Sincerly,

The Internet Janitor

Below are some links to research/further explaination on Gootloader:

https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/

https://news.sophos.com/en-us/2021/08/12/gootloaders-mothership-controls-malicious-content/

https://www.richinfante.com/2020/04/12/reverse-engineering-dolly-wordpress-malware

https://blog.sucuri.net/2018/12/clever-seo-spam-injection.html

This message

Pubblicato il Lascia un commento

Meltdown e Spectre: Le vulnerabilità del chip possono facilitare falle della memoria

In qualità di partner sulla sicurezza, Symantec è impegnata a tenerti informato sugli eventi di rilievo nel campo della sicurezza informatica che vengono rilevati a livello globale. Meltdown e Spectre, due vulnerabilità a livello di chip, possono consentire agli hacker di sferrare attacchi a sistemi operativi e processi utente. Gli utenti Norton sono protetti contro ogni tentativo di exploit di queste vulnerabilità; tuttavia, devono assicurarsi che il proprio software sia sempre completamente aggiornato in quanto prosegue la distribuzione di ulteriori protezioni e aggiornamenti.

Meltdown e Spectre: Le vulnerabilità del chip possono facilitare falle della memoria
La maggior parte dei processori moderni, indipendentemente dal sistema operativo, è interessata da vulnerabilità.
Una serie di nuove vulnerabilità scoperte che interessano i chip del processore possono consentire ai criminali informatici di ottenere l’accesso non autorizzato alla memoria di un computer. Le vulnerabilità, note come Meltdown e Spectre, interessano praticamente tutti i processori moderni e possono essere mitigate solamente tramite patch del sistema operativo.

Delle due, Meltdown rappresenta il pericolo maggiore perché il suo exploit è più semplice e interessa tutti i tipi di computer, compresi personal computer e macchine virtuali nel cloud. Symantec non è al corrente di exploit delle vulnerabilità attualmente in circolazione.

Tutte queste attività nocive possono essere bloccate dai prodotti Norton. Nondimeno, il consiglio per gli utenti è di applicare le patch del sistema operativo non appena rese disponibili.

Le vulnerabilità sono significative, in quanto un exploit effettuato con successo potrebbe consentire a criminali informatici di ottenere l’accesso non autorizzato a dati sensibili, comprese le password. In ogni caso, l’exploit di qualsiasi computer vulnerabile richiederebbe l’ottenimento dell’accesso a tale computer attraverso un passaggio precedente, come l’esecuzione di un’applicazione nociva al suo interno, un codice JavaScript che attiva un exploit allo scopo di eseguire codice nativo o l’esecuzione di JavaScript per mappare il kernel.

Entrambi Meltdown e Spectre sfruttano punti deboli nei processori allo scopo di aggirare l’isolamento della memoria nel sistema operativo. I sistemi operativi sono progettati in modo da impedire che un’applicazione acceda a memoria che viene utilizzata da altre risorse. Se l’isolamento della memoria non funziona, un’applicazione nociva può rubare informazioni dalla memoria utilizzata da altre applicazioni.

Cos’è Meltdown?
Meltdown (CVE-2017-5754) sfrutta un punto debole nell’esecuzione out-of-order, una funzionalità disponibile in molti moderni chip del processore. I ricercatori che l’hanno scoperta hanno confermato che interessa qualsiasi processore Intel a partire dal 1995 (fatta eccezione per i processori Intel Itanium e Intel Atom precedenti al 2013). Tuttavia, essi hanno aggiunto che non è tuttora chiaro se la vulnerabilità interessa anche i processori ARM e AMD.

Un exploit riuscito con successo potrebbe consentire a un criminale informatico di ottenere una copia dell’intero spazio di indirizzi del kernel, compresa la memoria fisica mappata, in pratica tutti i dati presenti nella memoria al momento dell’attacco.

Meltdown può essere sfruttata indipendentemente dal sistema operativo eseguito in un computer. Colpisce sia singoli computer che i computer che gestiscono servizi cloud in hosting. Ciò significa che un attacco a un singolo server potrebbe compromettere tutte le macchine virtuali che sono in esecuzione al suo interno.

Un attacco contro servizi cloud è potenzialmente lo scenario peggiore, in quando un exploit di Meltdown su una macchina virtuale può consentire l’accesso alla memoria dell’intero sistema host. Gli aggressori possono potenzialmente acquistare spazio su un servizio cloud vulnerabile e utilizzarlo per predisporre un attacco contro altri clienti che utilizzano lo stesso host.

Cos’è Spectre?
Spectre (CVE-2017-5753 e CVE-2017-5715) ha effetti simili ma funziona in modo leggermente diverso e sfrutta un punto debole nella progettazione del processore per indurre un’applicazione a rivelare informazioni presenti in memoria.

Secondo il team che ha scoperto Spectre, praticamente tutti i processori moderni sono interessati dalla vulnerabilità, compresi i chip Intel, AMD e ARM. Anche in questo caso, la vulnerabilità è indipendente dal sistema operativo.

Mitigazione
Il consiglio per gli utenti è di applicare immediatamente le patch del sistema operativo. Sono già state rilasciate patch di Meldown per Microsoft Windows, Apple macOS e Linux. L’applicazione di patch a Spectre è più difficoltosa, ma pare che lo sia anche l’eventuale exploit. Sono in corso lavori per rafforzare il software contro qualsiasi exploit potenziale.

I vendor di sistemi operativi hanno già segnalato che l’applicazione di patch può comportare effetti sulle prestazioni dei computer colpiti. Secondo Microsoft, l’impatto potrebbe essere trascurabile sulla maggior parte dei dispositivi consumer, anche se comunque “può variare a seconda della generazione hardware e dell’implementazione del chip da parte del produttore”. Gli sviluppatori della patch per Linux hanno dichiarato che in media le prestazioni possono subire una riduzione del 5%, ma sono stati osservati casi in cui tale valore arriva al 30%.

ESISTE UN NUMERO ESTREMAMENTE ELEVATO DI DIVERSE MINACCE DIGITALI PER I NOSTRI CLIENTI.
Fortunatamente, c’è un unico partner per tutte le tue esigenze di sicurezza digitale.
Milioni di persone ovunque affidano la sicurezza dei loro dispositivi a Norton.

Informazioni su Norton
L’ampia gamma di tecnologie di qualità e innovative di Norton comprende protezione dei dispositivi per PC, Mac e mobili (iOS e Android), backup sicuro, gestione delle password e protezione minori. Norton WiFi Privacy protegge le connessioni Internet crittografando tutte le informazioni in entrata e in uscita dai dispositivi connessi a reti WiFi pubbliche. Recentemente Norton ha sviluppato una nuova offerta innovativa (Norton Core™) per fornire connettività Internet ad alte prestazioni per gli ambienti residenziali proteggendo tutti i dispositivi connessi e offrendo protezione minori di nuova generazione.

Avvertenze e riferimenti:
Symantec Corporation, l’azienda leader mondiale nella sicurezza informatica, consente a organizzazioni, istituzioni e persone di proteggere ovunque i loro dati più importanti. Più di 50 milioni di persone e famiglie contano su Norton e sulla LifeLock Digital Safety Platform di Symantec per aiutare a proteggere le loro informazioni personali, i dispositivi, le reti domestiche e l’identità.

Per qualsiasi domanda su Norton Security e sulla protezione che offre, contattaci.

PUNTO AT