Como eliminar el Malware "perfctl" del servidor VPS Ubuntu 20.04

germanhofkamp

Beta
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
18 Feb 2023
Mensajes
120
Hola, en mi VPS hace un tiempo que detecto que la CPU esta al 100%, pude descubrir con una aplicación de terceros que se trataría del malware "perfctl" que mina tu sistema operativo. Este malware es muy inteligente ya que he borrado los archivos como "/tmp/.perf.c" "/etc/cron.daily/perfclean" "/root/.config/cron/perfcc" o "/usr/bin/perfcc". pero después de un tiempo este malware se vuelve a regenerar. Además es un malware inteligente ya que cada vez que me conecto por SSH a mi VPS la cpu que esta al 100% se normaliza rápidamente. He buscado en foros y he visto algunas posibles soluciones, pero no he dado eliminar este malware. Si me podría dar alguna solución se los agradecería ya que muchos tienen problema con este malware y mucho no lo han descubierto. Muchas gracias.
 

BotBeta

Admin
Sigma
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Suscripción a IA
Desde
13 Jun 2020
Mensajes
34.239
Podrías intentar los siguientes pasos:

1. Desconéctate de SSH y detén el proceso "perfctl" en tu VPS.
2. Haz una copia de seguridad de tus archivos importantes.
3. Actualiza todos tus paquetes de software y el sistema operativo de tu servidor con sudo apt-get update && sudo apt-get upgrade.
4. Revisa los trabajos de cron para detectar cualquier actividad sospechosa. Puedes usar crontab -l y ls -la /etc/cron.*.
5. Adicionalmente, considera revisar otros archivos de configuración y scripts comunes que podrían estar comprometidos.
6. Utiliza un detector de rootkit como chkrootkit o rkhunter.
7. Cambia todas las contraseñas de tu sistema.
8. Si es posible, considera reinstalar tu servidor VPS desde cero.

Recuerda siempre mantener tu sistema y aplicaciones al día. Además, realiza frecuentemente análisis contra malware.
 

germanhofkamp

Beta
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
18 Feb 2023
Mensajes
120
Aun no he podido eliminarlo con esa posible solucion D:
 

BotBeta

Admin
Sigma
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Suscripción a IA
Desde
13 Jun 2020
Mensajes
34.239
Aun no he podido eliminarlo con esa posible solucion D:
Lamentablemente, los malwares como "perfctl" pueden ser bastante persistentes. Si la solución anterior no funcionó, podrías intentar lo siguiente:

1. Analiza tu sistema con una herramienta antivirus como ClamAV o Sophos.
2. Considera también emplear herramientas especializadas en la eliminación de malware para Linux, como ESET NOD32.
3. Revisa nuevamente todos los cron jobs e intenta encontrar los que no reconozcas.
4. Si todo lo demás falla, podrías requerir asistencia de un profesional en ciberseguridad o considerar la opción de reinstalar el sistema operativo en tu servidor desde cero después de hacer una copia de seguridad de tus datos importantes.

Recuerda, es crucial que mantengas tus sistemas al día y uses contraseñas seguras.
 

Carlos Frias

1
Ro
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
6 Nov 2016
Mensajes
8.062
Tienes que remediarlo subiendo el servidor en rescue mode, si yo fuera tu haría un backup de los Websites/proyectos y no perdería tiempo en auditar y limpiar el servidor, lo reinstalaría, pues me supondria menos pérdida de tiempo, tan solo que, me aseguraría de configurar, optimizar y securizar el servidor al máximo posible para prevenir que este tipo de situaciones se vuelva repetir. Conste que una guía como tal no vas a encontrar en el foro y cada quien por sus conocimientos va a cobrar, si deseas asistencia profesional puedes abordarme en privado.
 

klamardo

Beta
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
9 Sep 2017
Mensajes
106
de la misma idea ( reinstalacion de 0 ) .. si puede escribir en /root .. ya implica que esta bien jodida la cosa ..
 

Suprax

Dseda
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
21 May 2022
Mensajes
1.217
Y no puedes simplemente descargar backup de tu web o transferirlo vía ssh o rsyng s otro y reinstalas el sistema operativo?, es lo más simple y sencillo.
Puede ser que lo vea como ultima opcion, tal vez le "cueste tiempo" volver a subir los documentos. Pero al opcion más sencilla y a la vez la más funcional.
 

kj2

Kappa
Verificación en dos pasos activada
¡Ha verificado su Paypal!
Verificado por Binance
Desde
1 Abr 2011
Mensajes
2.662
Tanto para Windows como para Linux, para borrar un virus, primero debes buscar lo que lo inicia.

En el caso de Linux, las maneras usuales de levantar procesos automáticamente es con crontab o con daemons/services de systemd. Primero revisa los de crontab, que es el más simple.

Una vez lo encuentras, eliminas la entrada (puede que sea necesario matar el proceso justo antes de eliminarlo para evitar que vuelva a crear la entrada) y reinicias. Si al reiniciar ya no lo ves en la lista de procesos, entonces lo has conseguido y puedes ya pasar a eliminar los archivos.

Si al final se restaura de alguna manera, significa que quizá había otro proceso asegurándose de restaurarlo cuando lo elimines, aquí toca rastrearlo e igual es solo cosa de algunos comandos extra y vuelves a repetir, pero esta vez matando este proceso.

Si nada de eso te sirve o no eres capaz de realizarlo, mejor reinstala o contrata a alguien que te lo haga.

Finalmente, para evitar que esto vuelva a pasar, si montas tu web, procura usar una cuenta que no sea root, en lugar de root directamente y no ejecutes cualquir tontería. En mi experiencia, los pocos servidores Linux que alguna vez vi infectados (quitando los que robaron los datos de acceso infectando la máquina con Windows desde donde se conectaba el usuario), todos fueron porque dejaron SSH del root activo, con contraseña (usar llaves siempre es mejor) y finalmente, la contraseña era extremadamente débil o de las que se encuentran en diccionarios.

Hoy en día, los ataques de bruteforce suelen ser siempre con diccionarios y no diccionarios aleatorios, sino diccionarios generados a partir de bases de datos hackeadas, de modo que usan contraseñas que otra gente usó y que probablemente otros repetirán.

Por otro lado, cualquier servidor que tenga IP pública y SSH activo, muy normalmente recibirá ataques de bots todo el tiempo, por lo que pongas contraseña o llave, siempre es conveniente tener fail2ban instalado, que automáticamente ya te pone un filtro contra ataques de ese tipo.

PD: Hagas lo que hagas, no intentes instalarte antivirus, Clamav puede ser, pero sería mas rápido que directamente lo elimines manualmente y luego ClamAV te puede ayudar a eliminar los residuos inactivos.

kj
 
Última edición:

webcoder

Beta
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
9 Ago 2023
Mensajes
118
Si periódicamente vuelve es porque tenes un agujero de seguridad en algún lado que esta aprovechando. Tendrías que ver como logra infectarte, resolver eso y despues sacarlo. Tendrías que revisar con que owner se te infecta, si es con root actualiza el soft que tengas corriendo y verificar que vos en tu maquina que usas para conectarte no estes infectado.