修复可能遭到入侵的 Amazon 实例 EC2 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能遭到入侵的 Amazon 实例 EC2

当 GuardDuty 生成指示 Amazon EC2 资源可能受损的查找类型时,您的资源将是实例。潜在的调查发现类型可能是 EC2 查找类型GuardDuty 运行时监控查找类型用于 EC2 查找类型的恶意软件防护。如果导致该调查发现的行为是环境中的预期行为,则可以考虑使用抑制规则

执行以下步骤来修复可能遭到入侵的 Amazon EC2 实例:

  1. 识别可能遭到入侵的 Amazon EC2 实例

    调查可能遭盗用实例中的恶意软件,并清除任何发现的恶意软件。您可以使用按需扫描恶意软件 GuardDuty来识别可能受感染的 EC2 实例中的恶意软件,或者查看是否Amazon Web Services Marketplace有有用的合作伙伴产品可以识别和删除恶意软件。

  2. 隔离可能遭到入侵的 Amazon EC2 实例

    如果可能,请使用以下步骤隔离可能失陷的实例:

    1. 创建专用隔离安全组。隔离安全组只允许从特定 IP 地址进行入站和出站访问。确保没有允许 0.0.0.0/0 (0-65535) 流量的入站或出站规则。

    2. 隔离安全组关联到此实例。

    3. 除新创建的隔离安全组以外,从可能失陷实例中移除所有安全组关联。

      注意

      现有跟踪的连接不会因安全组的更改而终止,只有未来的流量才会被新安全组有效阻止。

      有关已跟踪和未跟踪连接的信息,请参阅《亚马逊 EC2 用户指南》中的亚马逊 EC2 安全组连接跟踪

      有关阻止来自可疑现有连接的更多流量的信息,请参阅《事件响应手册》中的 “ NACLs 基于网络强制 IoCs 以防止更多流量”。

  3. 确定可疑活动源

    如果检测到恶意软件,则根据您账户中的发现类型,识别并停止您的 EC2 实例上可能存在的未经授权的活动。这可能需要执行一些操作,例如,关闭任何打开的端口、更改访问策略以及升级应用程序以修复漏洞。

    如果您无法识别并阻止可能遭到入侵的 EC2 实例上的未经授权的活动,我们建议您终止受感染的 EC2 实例,并根据需要将其替换为新实例。以下是用于保护您的 EC2 实例的其他资源:

  4. 浏览 Amazon Web Services re:Post

    浏览 Amazon Web Services re:Post 以获得更多帮助。

  5. 提交技术支持请求

    如果您是 Premium Support 服务包的订阅用户,您可以提交技术支持请求。