Corriger une instance Amazon EC2 potentiellement compromise

Suivez ces étapes recommandées pour corriger une instance EC2 potentiellement compromise dans votre AWS environnement :

1. Identifiez l'instance Amazon EC2 potentiellement compromise

   Recherchez dans l'instance potentiellement compromise des programmes malveillants et supprimez ceux qui sont détectés. Vous pouvez utiliser Analyse des logiciels malveillants à la demande pour identifier les logiciels malveillants dans l'instance EC2 potentiellement compromise, ou consulter AWS Marketplace pour vérifier s'il existe des produits partenaires utiles afin d'identifier et de supprimer les logiciels malveillants.

2. Isolez l'instance Amazon EC2 potentiellement compromise

   Si possible, procédez comme suit pour isoler l'instance potentiellement compromise :

   1. Créez un groupe de sécurité dédié à l'isolation.

   2. Créez une règle unique 0.0.0.0/0 (0-65535) pour l'ensemble du trafic dans les règles sortantes.

      Lorsque cette règle s'applique, elle convertit tout le trafic sortant existant (et nouveau) en trafic non suivi, bloquant ainsi toutes les sessions sortantes établies. Pour plus d'informations, consultez la section Connexions non suivies.

   3. Supprimez toutes les associations de groupes de sécurité actuelles de l'instance potentiellement compromise.

   4. Associez le groupe de sécurité Isolation à cette instance.

      Après l'association, supprimez la règle 0.0.0.0/0 (0-65535) pour tout le trafic des règles sortantes du groupe de sécurité Isolation.

3. Identifiez la source de l'activité suspecte.

   Si un logiciel malveillant est détecté, identifiez et arrêtez l'activité potentiellement non autorisée sur votre instance EC2 en fonction du type de résultat dans votre compte. Cela peut nécessiter des actions telles que la fermeture de tous les ports ouverts, la modification des stratégies d'accès et la mise à niveau des applications pour corriger les vulnérabilités.

   Si vous ne parvenez pas à identifier et à arrêter toute activité non autorisée sur votre instance EC2 potentiellement compromise, nous vous recommandons de mettre fin à l'instance EC2 compromise et de la remplacer par une nouvelle instance si nécessaire. Les ressources supplémentaires suivantes vous permettent de sécuriser vos instances EC2 :

   • Section Sécurité et réseau de Bonnes pratiques pour Amazon EC2.

   • Groupes de sécurité Amazon EC2 pour les instances Linux et Groupes de sécurité Amazon EC2 pour les instances Windows.

   • Sécurité dans Amazon EC2

   • Conseils pour sécuriser vos instances EC2 (Linux).

   • AWS meilleures pratiques en matière de sécurité

   • Incidents du domaine de l'infrastructure sur AWS

4. Parcourir AWS re:Post

   Naviguez AWS re:Postpour obtenir de l'aide supplémentaire.

5. Soumission d'une demande de support technique

   Si vous êtes abonné à un package Premium Support, vous pouvez soumettre une demande de support technique.