本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修復可能遭到入侵的 Amazon EC2 執行個體
請遵循下列建議步驟,修復 AWS 環境中可能遭到入侵的 EC2 執行個體:
識別可能遭到入侵的 Amazon EC2 執行個體
調查可能遭盜用的執行個體是否受惡意軟體攻擊,並移除任何發現的惡意軟體。您可以使用 隨需惡意軟體掃描 來識別可能遭到入侵的 EC2 執行個體中的惡意軟體,或檢查 AWS Marketplace
是否有實用的合作夥伴產品來識別和移除惡意軟體。 隔離可能遭到入侵的 Amazon EC2 執行個體
如果可能,請使用下列步驟隔離可能遭到入侵的執行個體:
建立專用的隔離安全性群組。
為輸出規則中
0.0.0.0/0 (0-65535)
的所有流量建立單一規則。套用此規則時,會將所有現有 (和新的) 輸出流量轉換為未追蹤,並封鎖任何已建立的輸出工作階段。如需詳細資訊,請參閱未追蹤的連線。
從可能遭到入侵的執行個體移除所有目前的安全性群組關聯。
將隔離安全性群組與此執行個體建立關聯。
建立關聯之後,從隔離安全性群組的輸出規則中刪除所有流量的規則。
0.0.0.0/0 (0-65535)
識別可疑活動的來源
如果偵測到惡意軟體,請根據您帳戶中的調查結果類型,識別並停止 EC2 執行個體上可能未經授權的活動。這可能需要採取動作,例如關閉任何開啟的連接埠、變更存取政策,以及升級應用程式以修正漏洞。
如果您無法識別並停止潛在受損 EC2 執行個體上的未經授權活動,建議您終止受感染的 EC2 執行個體,並視需要將其替換為新的執行個體。以下是保護您 EC2 執行個體的其他資源:
瀏覽 AWS re:Post
瀏覽以AWS re:Post
尋求進一步協助。 提交技術支援請求
如果您是付費支援套件訂閱用戶,則可以提交技術支援
請求。