根据您的描述,攻击者通过 CentOS 7 系统中的 Docker 注入了恶意脚本,导致自动启动名为 “masscan” 和 “x86botnigletjsw” 的进程。这些进程可能用于网络扫描或其他恶意活动。为了解决这一问题,建议您采取以下步骤:
1. 停止并删除可疑容器和进程:
- 列出所有运行中的容器:
docker ps -a
检查输出,寻找与 “masscan” 或 “x86botnigletjsw” 相关的容器。
- 停止并删除可疑容器:
docker stop [CONTAINER_ID]docker rm [CONTAINER_ID]
将 [CONTAINER_ID] 替换为可疑容器的实际 ID。
- 查找并终止可疑进程:
ps aux | grep -E 'masscan|x86botnigletjsw'
找到相关的进程 ID(PID),然后执行:
kill -9 [PID]
将 [PID] 替换为实际的进程 ID。
2. 删除恶意镜像:
- 列出所有镜像:
docker images
检查输出,寻找不明来源或可疑的镜像。
- 删除可疑镜像:
docker rmi [IMAGE_ID]
将 [IMAGE_ID] 替换为可疑镜像的实际 ID。
3. 检查并清理持久化启动项:
- 检查定时任务(Cron Jobs):
crontab -lls -la /etc/cron.d/ls -la /etc/cron.daily/ls -la /etc/cron.hourly/ls -la /var/spool/cron/
查找是否有可疑的定时任务,如果发现,使用合适的编辑器(如 vi)打开并删除相关条目。
- 检查系统服务(Systemd):
systemctl list-units --type=service
查找是否有可疑的服务,如发现,停止并禁用该服务:
systemctl stop [SERVICE_NAME]systemctl disable [SERVICE_NAME]
将 [SERVICE_NAME] 替换为可疑服务的实际名称。
4. 加强 Docker 和系统安全:
-
限制 Docker API 访问:
确保 Docker API 未暴露在公共网络上,检查 Docker 的启动参数,确保未启用远程访问。 -
更新系统和 Docker:
保持操作系统和 Docker 的最新版本,以修复已知的安全漏洞。 -
配置防火墙:
使用firewalld或iptables限制不必要的入站和出站流量。 -
监控系统活动:
使用工具如auditd或syslog监控系统日志,及时发现异常活动。
5. 定期备份和审计:
-
备份重要数据:
定期备份关键数据,以防止数据丢失。 -
审计用户和权限:
定期检查系统用户和权限,确保没有多余的用户或权限配置。
通过以上步骤,您可以清理系统中的恶意容器和进程,并加强系统的安全性,防止类似事件再次发生。
在 CentOS 7 系统中,若要阻止名为 “x86botnigletjsw” 的进程执行,您可以采取以下步骤:
-
查找并终止现有的 “x86botnigletjsw” 进程:
首先,使用以下命令查找该进程的 PID(进程标识符):
pgrep x86botnigletjsw该命令将返回所有名为 “x86botnigletjsw” 的进程的 PID。然后,使用
kill命令终止这些进程:kill -9 <PID>请将
<PID>替换为实际的进程 ID。如果有多个 PID,可以重复执行上述命令,或者使用pkill命令一次性终止所有同名进程:pkill -9 x86botnigletjsw -
防止进程重新启动:
如果该进程由某个父进程监控并自动重启,需要找到其父进程并终止。使用以下命令查看进程的详细信息:
ps -ef | grep x86botnigletjsw输出示例:
root 28628 1 1.3 0.2 200844 36796 ? S 1:01 0:01 x86botnigletjsw在此示例中,
28628是目标进程的 PID,1是其父进程(PPID)。如果 PPID 不为 1,表示有特定的父进程在管理该进程,需要终止该父进程。 -
阻止进程再次执行:
为了防止 “x86botnigletjsw” 进程再次启动,可以采取以下措施:
-
检查启动脚本: 查看
/etc/init.d/、/etc/rc.d/、/etc/systemd/system/等目录,查找是否有与该进程相关的启动脚本。如果存在,删除或禁用这些脚本。 -
设置文件权限: 找到 “x86botnigletjsw” 可执行文件的位置,修改其权限以防止执行:
chmod -x /path/to/x86botnigletjsw或者更改所有者:
chown root:root /path/to/x86botnigletjsw并设置权限:
chmod 700 /path/to/x86botnigletjsw -
使用
systemd限制: 如果该进程通过systemd管理,可以创建一个自定义的systemd服务,将其设置为禁止启动。创建一个新的服务文件/etc/systemd/system/x86botnigletjsw.service,内容如下:[Unit] Description=Disable x86botnigletjsw Service [Service] Type=oneshot ExecStart=/bin/true [Install] WantedBy=multi-user.target然后启用该服务:
systemctl daemon-reload systemctl enable x86botnigletjsw.service这将创建一个空的占位服务,阻止同名的其他服务启动。
-
-
监控系统:
为了防止类似的进程在未来运行,建议:
-
安装并配置防火墙: 使用
firewalld或iptables限制不必要的网络访问。 -
安装防病毒软件: 定期扫描系统,查找并清除恶意软件。
-
定期检查系统日志: 查看
/var/log/目录下的日志文件,监控可疑活动。 -
更新系统: 确保系统和所有软件包都是最新的,以修复已知的安全漏洞。
-
通过以上步骤,您可以有效地阻止名为 “x86botnigletjsw” 的进程在 CentOS 7 系统中执行,并提高系统的整体安全性。