發佈到 CentOS Reddit 子版塊的 Reddit 評論很典型。管理員注意到兩台伺服器感染了名為 perfcc 和 perfctl 的加密貨幣劫持者。管理員希望幫忙調查原因。

該管理員在 2023 年 4 月的帖子中寫道：“我只是因為我的監控設定提醒我 CPU 利用率為 100%，才意識到該惡意軟體。” 「但是，當我透過 SSH 或控制台登入時，該過程會立即停止。一旦我退出，惡意軟體就會在幾秒鐘或幾分鐘內恢復運行。管理員繼續說：

我嘗試按照其他論壇中概述的步驟刪除惡意軟體，但無濟於事。一旦我註銷，惡意軟體總是設法重新啟動。我還在整個系統中搜尋了字串“perfcc”，並找到了下面列出的檔案。然而，刪除它們並沒有解決問題。因為它每次重新啟動時都會重生。

其他討論包括：Reddit、Stack Overflow （西班牙語）， 福羅貝塔 （西班牙語）， 腦力 （俄文）， NAT網絡 （印尼）， 普羅克斯莫克斯 （德文）， 駱駝2243 （中國人）， svr論壇 （韓國人）， 艾位元組、虛擬最小、伺服器故障 以及許多其他人。

在利用漏洞或錯誤配置後，利用程式碼會從伺服器下載主要有效負載，在大多數情況下，該伺服器已被攻擊者駭客攻擊並轉換為匿名分發惡意軟體的通道。針對研究人員蜜罐的攻擊名為 httpd。執行後，該檔案會將自身從記憶體複製到 /temp 目錄中的新位置，運行它，然後終止原始進程並刪除下載的二進位。

一旦移動到 /tmp 目錄，該檔案就會以不同的名稱執行，該名稱模仿已知 Linux 進程的名稱。蜜罐上託管的檔案名稱為 sh。從那裡，該檔案建立一個本地命令和控制進程，並嘗試透過利用CVE-2021-4043 來獲取根系統權限，CVE-2021-4043 是一個特權升級漏洞，已於2021 年在廣泛使用的開源多媒體框架Gpac 中修補。