修复可能遭到入侵的 Amazon EC2 实例 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能遭到入侵的 Amazon EC2 实例

请按照以下建议步骤修复 Amazon 环境中可能受到威胁的 EC2 实例:

  1. 识别可能遭到入侵的 Amazon EC2 实例

    调查可能遭盗用实例中的恶意软件,并清除任何发现的恶意软件。您可以用 按需恶意软件扫描 来识别可能受攻击的 EC2 实例中的恶意软件,或查看 Amazon Web Services Marketplace 是否有可提供帮助的合作伙伴产品,来识别和删除恶意软件。

  2. 隔离可能遭到入侵的 Amazon EC2 实例

    如果可能,请使用以下步骤隔离可能受到威胁的实例:

    1. 创建专用的隔离安全组。

    2. 0.0.0.0/0 (0-65535)为出站规则中的所有流量创建一条规则。

      当此规则适用时,它会将所有现有(和新的)出站流量转换为未跟踪流量,从而阻止任何已建立的出站会话。有关更多信息,请参阅未跟踪的连接

    3. 从可能受到威胁的实例中移除所有当前的安全组关联。

    4. 隔离安全组与该实例关联。

      关联后,从隔离安全组0.0.0.0/0 (0-65535)的出站规则中删除所有流量的规则。

  3. 确定可疑活动源

    如果检测到恶意软件,则根据您账户中的调查发现类型,识别并阻止 EC2 实例上潜在的未经授权活动。这可能需要执行一些操作,例如,关闭任何打开的端口、更改访问策略以及升级应用程序以修复漏洞。

    如果您无法识别和阻止可能遭到入侵的 EC2 实例上的未经授权的活动,我们建议您终止受感染的 EC2 实例,并根据需要将其替换为新实例。以下是可以保护您 EC2 实例的其他资源:

  4. 浏览 Amazon Web Services re:Post

    要获得更多帮助,请访问 https://forums.aws.amazon.com/index.jspa。 Amazon Web Services re:Post

  5. 提交技术支持请求

    如果您是 Premium Support 服务包的订阅用户,您可以提交技术支持请求。