Das Reddit-Kommentar im CentOS-Subreddit gepostet wird, ist typisch. Ein Administrator bemerkte, dass zwei Server mit einem Kryptowährungs-Hijacker mit den Namen perfcc und perfctl infiziert waren. Der Administrator wollte Hilfe bei der Untersuchung der Ursache.
„Ich bin erst auf die Schadsoftware aufmerksam geworden, weil meine Überwachungseinrichtung mich auf eine CPU-Auslastung von 100 % aufmerksam gemacht hat“, schrieb der Administrator im Beitrag vom April 2023. „Allerdings stoppte der Vorgang sofort, wenn ich mich über SSH oder Konsole anmeldete. Sobald ich mich abmeldete, wurde die Malware innerhalb weniger Sekunden oder Minuten wieder ausgeführt.“ Der Administrator fuhr fort:
Ich habe versucht, die Malware zu entfernen, indem ich die in anderen Foren beschriebenen Schritte befolgt habe, aber ohne Erfolg. Die Malware schafft es immer, neu zu starten, sobald ich mich abmelde. Ich habe auch das gesamte System nach der Zeichenfolge „perfcc“ durchsucht und die unten aufgeführten Dateien gefunden. Durch das Entfernen konnte das Problem jedoch nicht behoben werden. da es bei jedem Neustart erneut erscheint.
Weitere Diskussionen umfassen: Reddit, StapelĂĽberlauf (Spanisch), forobeta (Spanisch), brainycp (Russisch), NAT-Netzwerk (Indonesisch), Proxmox (Deutsch), Kamel2243 (Chinesisch), svrforum (Koreanisch), Exabyte,>virtualmin,>Serverfehler und viele andere.
Nach dem Ausnutzen einer Schwachstelle oder Fehlkonfiguration lädt der Exploit-Code die Hauptnutzlast von einem Server herunter, der in den meisten Fällen vom Angreifer gehackt und in einen Kanal zur anonymen Verbreitung der Malware umgewandelt wurde. Ein Angriff, der auf den Honeypot der Forscher abzielte, nannte die Nutzlast httpd. Nach der Ausführung kopiert sich die Datei aus dem Speicher an einen neuen Speicherort im Verzeichnis /temp, führt sie aus, beendet dann den ursprünglichen Prozess und löscht die heruntergeladene Binärdatei.
Sobald die Datei in das Verzeichnis /tmp verschoben wird, wird sie unter einem anderen Namen ausgefĂĽhrt, der den Namen eines bekannten Linux-Prozesses imitiert. Die im Honeypot gehostete Datei hieĂź sh. Von dort aus richtet die Datei einen lokalen Befehls- und Kontrollprozess ein und versucht, Root-Systemrechte zu erlangen, indem sie CVE-2021-4043 ausnutzt, eine Schwachstelle zur Rechteausweitung, die 2021 in Gpac, einem weit verbreiteten Open-Source-Multimedia-Framework, gepatcht wurde.
