根据您的描述，攻击者通过 CentOS 7 系统中的 Docker 注入了恶意脚本，导致自动启动名为 “masscan” 和 “x86botnigletjsw” 的进程。这些进程可能用于网络扫描或其他恶意活动。为了解决这一问题，建议您采取以下步骤：

1. 停止并删除可疑容器和进程：

• 列出所有运行中的容器：

  docker ps -a

检查输出，寻找与 “masscan” 或 “x86botnigletjsw” 相关的容器。

• 停止并删除可疑容器：

  docker stop [CONTAINER_ID]docker rm [CONTAINER_ID]

将 [CONTAINER_ID] 替换为可疑容器的实际 ID。

• 查找并终止可疑进程：

  ps aux | grep -E 'masscan|x86botnigletjsw'

找到相关的进程 ID（PID），然后执行：

  kill -9 [PID]

将 [PID] 替换为实际的进程 ID。

2. 删除恶意镜像：

• 列出所有镜像：

  docker images

检查输出，寻找不明来源或可疑的镜像。

• 删除可疑镜像：

  docker rmi [IMAGE_ID]

将 [IMAGE_ID] 替换为可疑镜像的实际 ID。

3. 检查并清理持久化启动项：

• 检查定时任务（Cron Jobs）：

  crontab -lls -la /etc/cron.d/ls -la /etc/cron.daily/ls -la /etc/cron.hourly/ls -la /var/spool/cron/

查找是否有可疑的定时任务，如果发现，使用合适的编辑器（如 vi）打开并删除相关条目。

• 检查系统服务（Systemd）：

  systemctl list-units --type=service

查找是否有可疑的服务，如发现，停止并禁用该服务：

  systemctl stop [SERVICE_NAME]systemctl disable [SERVICE_NAME]

将 [SERVICE_NAME] 替换为可疑服务的实际名称。

4. 加强 Docker 和系统安全：

• 限制 Docker API 访问：
  确保 Docker API 未暴露在公共网络上，检查 Docker 的启动参数，确保未启用远程访问。

• 更新系统和 Docker：
  保持操作系统和 Docker 的最新版本，以修复已知的安全漏洞。

• 配置防火墙：
  使用 firewalld 或 iptables 限制不必要的入站和出站流量。

• 监控系统活动：
  使用工具如 auditd 或 syslog 监控系统日志，及时发现异常活动。

5. 定期备份和审计：

• 备份重要数据：
  定期备份关键数据，以防止数据丢失。

• 审计用户和权限：
  定期检查系统用户和权限，确保没有多余的用户或权限配置。

通过以上步骤，您可以清理系统中的恶意容器和进程，并加强系统的安全性，防止类似事件再次发生。

在 CentOS 7 系统中，若要阻止名为 “x86botnigletjsw” 的进程执行，您可以采取以下步骤：

1. 查找并终止现有的 “x86botnigletjsw” 进程：

   首先，使用以下命令查找该进程的 PID（进程标识符）：

   pgrep x86botnigletjsw
   

   该命令将返回所有名为 “x86botnigletjsw” 的进程的 PID。然后，使用 kill 命令终止这些进程：

   kill -9 <PID>
   

   请将 <PID> 替换为实际的进程 ID。如果有多个 PID，可以重复执行上述命令，或者使用 pkill 命令一次性终止所有同名进程：

   pkill -9 x86botnigletjsw
   

2. 防止进程重新启动：

   如果该进程由某个父进程监控并自动重启，需要找到其父进程并终止。使用以下命令查看进程的详细信息：

   ps -ef | grep x86botnigletjsw
   

   输出示例：

   root     28628     1  1.3  0.2 200844 36796 ?        S    1:01   0:01 x86botnigletjsw
   

   在此示例中，28628 是目标进程的 PID，1 是其父进程（PPID）。如果 PPID 不为 1，表示有特定的父进程在管理该进程，需要终止该父进程。

3. 阻止进程再次执行：

   为了防止 “x86botnigletjsw” 进程再次启动，可以采取以下措施：

   • 检查启动脚本： 查看 /etc/init.d/、/etc/rc.d/、/etc/systemd/system/ 等目录，查找是否有与该进程相关的启动脚本。如果存在，删除或禁用这些脚本。

   • 设置文件权限： 找到 “x86botnigletjsw” 可执行文件的位置，修改其权限以防止执行：

     chmod -x /path/to/x86botnigletjsw
     

     或者更改所有者：

     chown root:root /path/to/x86botnigletjsw
     

     并设置权限：

     chmod 700 /path/to/x86botnigletjsw
     

   • 使用 systemd 限制： 如果该进程通过 systemd 管理，可以创建一个自定义的 systemd 服务，将其设置为禁止启动。创建一个新的服务文件 /etc/systemd/system/x86botnigletjsw.service，内容如下：

     [Unit]
     Description=Disable x86botnigletjsw Service
     [Service]
     Type=oneshot
     ExecStart=/bin/true
     [Install]
     WantedBy=multi-user.target
     

     然后启用该服务：

     systemctl daemon-reload
     systemctl enable x86botnigletjsw.service
     

     这将创建一个空的占位服务，阻止同名的其他服务启动。

4. 监控系统：

   为了防止类似的进程在未来运行，建议：

   • 安装并配置防火墙： 使用 firewalld 或 iptables 限制不必要的网络访问。

   • 安装防病毒软件： 定期扫描系统，查找并清除恶意软件。

   • 定期检查系统日志： 查看 /var/log/ 目录下的日志文件，监控可疑活动。

   • 更新系统： 确保系统和所有软件包都是最新的，以修复已知的安全漏洞。

通过以上步骤，您可以有效地阻止名为 “x86botnigletjsw” 的进程在 CentOS 7 系统中执行，并提高系统的整体安全性。