«perfctl» lleva al menos tres años atacando millones de servidores y estaciones de trabajo Linux, sin ser detectado en gran medida gracias a sus altos niveles de evasión y al uso de rootkits.
Su objetivo es en gran medida el cryptomining.
“perfctl” es conocido por sobrecargar el CPU, instalar cron jobs maliciosos y abrir puertas traseras en tu sistema.
Este post te guiará en el proceso de detección y eliminación.
He podido comprobar y ver combatir a “perfctl” en un Servidor Ubuntu 20.04 esta guia se basa en ello.
Paso 1: Detener Procesos Sospechosos
Primero, identifica cualquier proceso que esté ejecutando el malware y deténlo:
ps aux | grep perfctlAnota los ID de proceso (PID) que encuentres. Para detener el proceso, usa:
sudo kill -9 [PID]Paso 2: Eliminar Cron Jobs Maliciosos
Este malware suele crear tareas en el cron. Para eliminarlas:
Muestra los cron jobs del usuario root:
sudo crontab -lTambién revisa otras rutas cron:
sudo ls -la /etc/cron.*Edita el cron para eliminar cualquier tarea que parezca sospechosa:
sudo crontab -ePaso 3: Eliminar Archivos Maliciosos
Busca y elimina cualquier archivo relacionado con “perfctl” en las rutas donde generalmente se instalan archivos del sistema:
sudo find / -name 'perfctl'Para cada archivo encontrado, revisa el contenido y elimínalo si es malicioso:
sudo rm -f /ruta/del/archivoPaso 4: Revisar Archivos de Configuración del Sistema
Algunos archivos de configuración pueden ser modificados por el malware:
/etc/profile: Verifica que no haya variables o scripts sospechosos.
sudo nano /etc/profile/root/.config/: Revisa y elimina cualquier archivo no reconocido en este directorio.
Paso 5: Escanear el Sistema con Herramientas de Seguridad
Usa herramientas como rkhunter y chkrootkit para verificar la integridad de tu sistema:
sudo apt install rkhunter chkrootkit
sudo rkhunter --checkall
sudo chkrootkitEstas herramientas te ayudarán a detectar si existen otros rastros del malware en tu sistema.
Paso 6: Actualizar el Sistema y Reiniciar el Servidor
Asegúrate de tener las últimas actualizaciones de seguridad y reinicia el servidor para aplicar todos los cambios:
sudo apt update && sudo apt upgrade
sudo rebootPaso 7: Refuerza la Seguridad de Tu Servidor
Configura un firewall: Usa ufw para limitar el tráfico entrante y saliente.
sudo ufw enable
sudo ufw allow sshCambia el puerto SSH y deshabilita el acceso root directo:
Abre el archivo de configuración SSH:
sudo nano /etc/ssh/sshd_configCambia Port 22 a otro puerto y establece PermitRootLogin no.
Reinicia el servicio SSH:
sudo systemctl restart sshPaso 8: Considerar una Reinstalación
Si persisten los problemas o no logras eliminar todos los rastros del malware, puede ser necesario reinstalar el sistema operativo y restaurar tus datos desde una copia de seguridad.
Recuerda siempre monitorear tu sistema y mantenerlo actualizado.
S.I Stega Intelligence
Discover more from Stega Intelligence
Subscribe to get the latest posts sent to your email.