根據您的描述,攻擊者通過 CentOS 7 系統中的 Docker 注入了惡意腳本,導致自動啟動名為 “masscan” 和 “x86botnigletjsw” 的進程。這些進程可能用于網絡掃描或其他惡意活動。為了解決這一問題,建議您采取以下步驟:
1. 停止并刪除可疑容器和進程:
- 列出所有運行中的容器:
docker ps -a
檢查輸出,尋找與 “masscan” 或 “x86botnigletjsw” 相關的容器。
- 停止并刪除可疑容器:
docker stop [CONTAINER_ID]docker rm [CONTAINER_ID]
將 [CONTAINER_ID] 替換為可疑容器的實際 ID。
- 查找并終止可疑進程:
ps aux | grep -E 'masscan|x86botnigletjsw'
找到相關的進程 ID(PID),然后執行:
kill -9 [PID]
將 [PID] 替換為實際的進程 ID。
2. 刪除惡意鏡像:
- 列出所有鏡像:
docker images
檢查輸出,尋找不明來源或可疑的鏡像。
- 刪除可疑鏡像:
docker rmi [IMAGE_ID]
將 [IMAGE_ID] 替換為可疑鏡像的實際 ID。
3. 檢查并清理持久化啟動項:
- 檢查定時任務(Cron Jobs):
crontab -lls -la /etc/cron.d/ls -la /etc/cron.daily/ls -la /etc/cron.hourly/ls -la /var/spool/cron/
查找是否有可疑的定時任務,如果發現,使用合適的編輯器(如 vi)打開并刪除相關條目。
- 檢查系統服務(Systemd):
systemctl list-units --type=service
查找是否有可疑的服務,如發現,停止并禁用該服務:
systemctl stop [SERVICE_NAME]systemctl disable [SERVICE_NAME]
將 [SERVICE_NAME] 替換為可疑服務的實際名稱。
4. 加強 Docker 和系統安全:
-
限制 Docker API 訪問:
確保 Docker API 未暴露在公共網絡上,檢查 Docker 的啟動參數,確保未啟用遠程訪問。 -
更新系統和 Docker:
保持操作系統和 Docker 的最新版本,以修復已知的安全漏洞。 -
配置防火墻:
使用firewalld或iptables限制不必要的入站和出站流量。 -
監控系統活動:
使用工具如auditd或syslog監控系統日志,及時發現異常活動。
5. 定期備份和審計:
-
備份重要數據:
定期備份關鍵數據,以防止數據丟失。 -
審計用戶和權限:
定期檢查系統用戶和權限,確保沒有多余的用戶或權限配置。
通過以上步驟,您可以清理系統中的惡意容器和進程,并加強系統的安全性,防止類似事件再次發生。
在 CentOS 7 系統中,若要阻止名為 “x86botnigletjsw” 的進程執行,您可以采取以下步驟:
-
查找并終止現有的 “x86botnigletjsw” 進程:
首先,使用以下命令查找該進程的 PID(進程標識符):
pgrep x86botnigletjsw該命令將返回所有名為 “x86botnigletjsw” 的進程的 PID。然后,使用
kill命令終止這些進程:kill -9 <PID>請將
<PID>替換為實際的進程 ID。如果有多個 PID,可以重復執行上述命令,或者使用pkill命令一次性終止所有同名進程:pkill -9 x86botnigletjsw -
防止進程重新啟動:
如果該進程由某個父進程監控并自動重啟,需要找到其父進程并終止。使用以下命令查看進程的詳細信息:
ps -ef | grep x86botnigletjsw輸出示例:
root 28628 1 1.3 0.2 200844 36796 ? S 1:01 0:01 x86botnigletjsw在此示例中,
28628是目標進程的 PID,1是其父進程(PPID)。如果 PPID 不為 1,表示有特定的父進程在管理該進程,需要終止該父進程。 -
阻止進程再次執行:
為了防止 “x86botnigletjsw” 進程再次啟動,可以采取以下措施:
-
檢查啟動腳本: 查看
/etc/init.d/、/etc/rc.d/、/etc/systemd/system/等目錄,查找是否有與該進程相關的啟動腳本。如果存在,刪除或禁用這些腳本。 -
設置文件權限: 找到 “x86botnigletjsw” 可執行文件的位置,修改其權限以防止執行:
chmod -x /path/to/x86botnigletjsw或者更改所有者:
chown root:root /path/to/x86botnigletjsw并設置權限:
chmod 700 /path/to/x86botnigletjsw -
使用
systemd限制: 如果該進程通過systemd管理,可以創建一個自定義的systemd服務,將其設置為禁止啟動。創建一個新的服務文件/etc/systemd/system/x86botnigletjsw.service,內容如下:[Unit] Description=Disable x86botnigletjsw Service [Service] Type=oneshot ExecStart=/bin/true [Install] WantedBy=multi-user.target然后啟用該服務:
systemctl daemon-reload systemctl enable x86botnigletjsw.service這將創建一個空的占位服務,阻止同名的其他服務啟動。
-
-
監控系統:
為了防止類似的進程在未來運行,建議:
-
安裝并配置防火墻: 使用
firewalld或iptables限制不必要的網絡訪問。 -
安裝防病毒軟件: 定期掃描系統,查找并清除惡意軟件。
-
定期檢查系統日志: 查看
/var/log/目錄下的日志文件,監控可疑活動。 -
更新系統: 確保系統和所有軟件包都是最新的,以修復已知的安全漏洞。
-
通過以上步驟,您可以有效地阻止名為 “x86botnigletjsw” 的進程在 CentOS 7 系統中執行,并提高系統的整體安全性。
,64G顯存微調13b模型)
)
)
-BFS廣度優先遍歷)
)
