修复可能失陷的 Amazon EC2 实例 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

修复可能失陷的 Amazon EC2 实例

当 GuardDuty 生成表明可能失陷的 Amazon EC2 资源的调查发现类型时,您的资源将为实例。潜在的调查发现类型可能是 EC2 调查发现类型GuardDuty 运行时监控调查发现类型EC2 恶意软件防护调查发现类型。如果导致该调查发现的行为是环境中的预期行为,则可以考虑使用抑制规则

执行以下步骤来修复可能失陷的 Amazon EC2 实例:

  1. 识别可能失陷的 Amazon EC2 实例

    调查可能遭盗用实例中的恶意软件,并清除任何发现的恶意软件。您可以用 Guarduty 中的按需恶意软件扫描 来识别可能受攻击的 EC2 实例中的恶意软件,或查看 Amazon Web Services Marketplace 是否有可提供帮助的合作伙伴产品,来识别和删除恶意软件。

  2. 隔离可能失陷的 Amazon EC2 实例

    如果可能,请使用以下步骤隔离可能失陷的实例:

    1. 创建专用隔离安全组。隔离安全组只允许从特定 IP 地址进行入站和出站访问。确保没有允许 0.0.0.0/0 (0-65535) 流量的入站或出站规则。

    2. 隔离安全组关联到此实例。

    3. 除新创建的隔离安全组以外,从可能失陷实例中移除所有安全组关联。

      注意

      现有跟踪的连接不会因安全组的更改而终止,只有未来的流量才会被新安全组有效阻止。

      有关阻止来自可疑现有连接的新流量的信息,请参阅《事件响应操作手册》中的 Enforce NACLs based on network IoCs to prevent further traffic

  3. 确定可疑活动源

    如果检测到恶意软件,则根据您账户中的调查发现类型,识别并阻止 EC2 实例上潜在的未经授权活动。这可能需要执行一些操作,例如,关闭任何打开的端口、更改访问策略以及升级应用程序以修复漏洞。

    如果您无法识别和阻止可能失陷 EC2 实例上的未经授权活动,我们建议您终止失陷的 EC2 实例,然后根据需要使用新实例进行替换。以下是可以保护您 EC2 实例的其他资源:

  4. 浏览 Amazon Web Services re:Post

    浏览 Amazon Web Services re:Post 以获得更多帮助。

  5. 提交技术支持请求

    如果您是 Premium Support 服务包的订阅用户,您可以提交技术支持请求。