修復可能遭到入侵的 Amazon 執EC2行個體 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 Amazon 執EC2行個體

請依照下列建議步驟修復 AWS 環境中可能遭到入侵的EC2執行個體:

  1. 識別可能受損的 Amazon EC2 執行個體

    調查可能遭盜用的執行個體是否受惡意軟體攻擊,並移除任何發現的惡意軟體。您可以用隨需惡意軟體掃描來識別可能遭到入侵的EC2執行個體中的惡意程式碼,或檢AWS Marketplace查是否有實用的合作夥伴產品來識別和移除惡意程式。

  2. 隔離可能受損的 Amazon EC2 執行個體

    如果可能,請使用下列步驟隔離可能遭到入侵的執行個體:

    1. 建立專用的隔離安全性群組。隔離安全性群組應該只有來自特定 IP 位址的輸入和輸出存取權。確保沒有允許流量的入站或出站規則0.0.0.0/0 (0-65535)

    2. 隔離安全性群組與此執行個體建立關聯。

    3. 從可能遭到入侵的執行個體移除新建立的隔離安全性群組以外的所有安全群組關聯。

      注意

      現有的跟踪連接不會因為更改安全組而終止-只有 future 的流量將被新的安全組有效阻止。

      如需有關追蹤和未追蹤連線的資訊,請參閱 Amazon EC2使用者指南中的 Amazon EC2 安全群組連線追蹤。

      如需封鎖進一步來自可疑現有連線的流量的詳細資訊,請參閱「事件回應手冊」中的「NACLs根據網路強制執行」 IoCs 以防止進一步流量

  3. 識別可疑活動的來源

    如果偵測到惡意程式碼,請根據您帳戶中的發現類型,識別並停止EC2執行個體上潛在未經授權的活動。這可能需要採取動作,例如關閉任何開啟的連接埠、變更存取政策,以及升級應用程式以修正漏洞。

    如果您無法識別並阻止可能遭到入侵的EC2執行個體上未經授權的活動,建議您終止遭入侵的EC2執行個體,並視需要將其取代為新的執行個體。以下是保護EC2執行個體安全的其他資源:

  4. 瀏覽 AWS re:Post

    瀏覽以AWS re:Post尋求進一步協助。

  5. 提交技術支援請求

    如果您是付費支援套件訂閱用戶,則可以提交技術支援請求。