«perfctl» lleva al menos tres años atacando millones de servidores y estaciones de trabajo Linux, sin ser detectado en gran medida gracias a sus altos niveles de evasión y al uso de rootkits.

Su objetivo es en gran medida el cryptomining.

“perfctl” es conocido por sobrecargar el CPU, instalar cron jobs maliciosos y abrir puertas traseras en tu sistema.


Este post te guiará en el proceso de detección y eliminación.

 He podido comprobar y ver combatir a “perfctl” en un Servidor Ubuntu 20.04 esta guia se basa en ello.

Paso 1: Detener Procesos Sospechosos

Primero, identifica cualquier proceso que esté ejecutando el malware y deténlo:

ps aux | grep perfctl

Anota los ID de proceso (PID) que encuentres. Para detener el proceso, usa:

sudo kill -9 [PID]

Paso 2: Eliminar Cron Jobs Maliciosos

Este malware suele crear tareas en el cron. Para eliminarlas:

Muestra los cron jobs del usuario root:

sudo crontab -l

También revisa otras rutas cron:

sudo ls -la /etc/cron.*

Edita el cron para eliminar cualquier tarea que parezca sospechosa:

sudo crontab -e

Paso 3: Eliminar Archivos Maliciosos

Busca y elimina cualquier archivo relacionado con “perfctl” en las rutas donde generalmente se instalan archivos del sistema:

sudo find / -name 'perfctl'

Para cada archivo encontrado, revisa el contenido y elimínalo si es malicioso:

sudo rm -f /ruta/del/archivo

Paso 4: Revisar Archivos de Configuración del Sistema

Algunos archivos de configuración pueden ser modificados por el malware:

/etc/profile: Verifica que no haya variables o scripts sospechosos.

sudo nano /etc/profile

/root/.config/: Revisa y elimina cualquier archivo no reconocido en este directorio.

Paso 5: Escanear el Sistema con Herramientas de Seguridad

Usa herramientas como rkhunter y chkrootkit para verificar la integridad de tu sistema:

sudo apt install rkhunter chkrootkit
sudo rkhunter --checkall
sudo chkrootkit

Estas herramientas te ayudarán a detectar si existen otros rastros del malware en tu sistema.

Paso 6: Actualizar el Sistema y Reiniciar el Servidor

Asegúrate de tener las últimas actualizaciones de seguridad y reinicia el servidor para aplicar todos los cambios:

sudo apt update && sudo apt upgrade
sudo reboot

Paso 7: Refuerza la Seguridad de Tu Servidor

Configura un firewall: Usa ufw para limitar el tráfico entrante y saliente.

sudo ufw enable
sudo ufw allow ssh

Cambia el puerto SSH y deshabilita el acceso root directo:

Abre el archivo de configuración SSH:

sudo nano /etc/ssh/sshd_config

Cambia Port 22 a otro puerto y establece PermitRootLogin no.

Reinicia el servicio SSH:

sudo systemctl restart ssh

Paso 8: Considerar una Reinstalación

Si persisten los problemas o no logras eliminar todos los rastros del malware, puede ser necesario reinstalar el sistema operativo y restaurar tus datos desde una copia de seguridad.

Recuerda siempre monitorear tu sistema y mantenerlo actualizado.

S.I Stega Intelligence