修复可能遭到入侵的 EC2 AMI - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能遭到入侵的 EC2 AMI

何时 GuardDuty 生成处决:ec2/! MaliciousFile AMI 查找类型,它表示已在亚马逊系统映像 (AMI) 中检测到恶意软件。执行以下步骤来修复可能受损的 AMI:

  1. 识别可能遭到入侵的 AMI

    1. 的调查结果 AMIs 将在 GuardDuty 发现详情中列出受影响的 AMI ID、其 Amazon 资源名称 (ARN) 和相关的恶意软件扫描详情。

    2. 查看 AMI 源图片:

      aws ec2 describe-images --image-ids ami-021345abcdef6789

  2. 限制对受感染资源的访问

    1. 查看和修改备份库访问策略以限制恢复点访问权限并暂停任何可能使用此恢复点的自动还原作业。

    2. 从源 AMI 权限中移除权限

      首先查看现有权限:

      aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission

      然后移除个人权限:

      aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'

      有关其他 CLI 选项,请参阅与特定账户共享 AMI-亚马逊弹性计算云

    3. 如果来源是 EC2 实例,请参阅:修复可能遭到入侵的 Amazon EC2 实例

  3. 采取补救措施

    • 在继续删除之前,请确保已确定所有依赖关系,并在需要时进行适当的备份。