修复可能遭到入侵的 Amazon 实例 EC2 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能遭到入侵的 Amazon 实例 EC2

当 GuardDuty 生成指示 Amazon EC2 资源可能受损的查找类型时,您的资源将是实例。潜在的发现类型可能是EC2查找类型GuardDuty 运行时监控查找类型、或用于EC2查找类型的恶意软件防护。如果导致发现的行为在您的环境中是预料之中的,则可以考虑使用抑制规则

执行以下步骤来修复可能遭到入侵的 Amazon EC2 实例:

  1. 识别可能遭到入侵的 Amazon EC2 实例

    调查可能遭盗用实例中的恶意软件,并清除任何发现的恶意软件。您可以使用按需扫描恶意软件 GuardDuty来识别可能受感染的EC2实例中的恶意软件,或者查看是否AWS Marketplace有有用的合作伙伴产品可以识别和删除恶意软件。

  2. 隔离可能遭到入侵的 Amazon EC2 实例

    如果可能,请使用以下步骤隔离可能受到威胁的实例:

    1. 创建专用的隔离安全组。隔离安全组应仅具有来自特定 IP 地址的入站和出站访问权限。确保没有允许流量的入站或出站规则0.0.0.0/0 (0-65535)

    2. 隔离安全组与该实例关联。

    3. 从可能受到威胁的实例中移除新创建的隔离安全组以外的所有安全组关联。

      注意

      现有跟踪的连接不会因为更改安全组而终止,只有未来的流量才会被新的安全组有效阻止。

      有关已跟踪和未跟踪连接的信息,请参阅《亚马逊EC2用户指南》中的亚马逊EC2安全组连接跟踪

      有关阻止来自可疑现有连接的更多流量的信息,请参阅《事件响应手册》中的 “NACLs基于网络强制 IoCs 以防止更多流量”。

  3. 确定可疑活动源

    如果检测到恶意软件,则根据您账户中的发现类型,识别并停止您的EC2实例上可能存在的未经授权的活动。这可能需要执行一些操作,例如,关闭任何打开的端口、更改访问策略以及升级应用程序以修复漏洞。

    如果您无法识别并阻止可能遭到入侵的EC2实例上的未经授权的活动,我们建议您终止受感染的EC2实例,并根据需要将其替换为新实例。以下是用于保护您的EC2实例的其他资源:

  4. 浏览 AWS re:Post

    浏览AWS re:Post以获得更多帮助。

  5. 提交技术支持请求

    如果您是 Premium Support 服务包的订阅用户,您可以提交技术支持请求。