修復可能遭到入侵的 Amazon EC2 執行個體

請遵循下列建議步驟，修復 AWS 環境中可能遭到入侵的 EC2 執行個體：

1. 識別可能遭到入侵的 Amazon EC2 執行個體

   調查可能遭盜用的執行個體是否受惡意軟體攻擊，並移除任何發現的惡意軟體。您可以使用 隨需惡意軟體掃描 來識別可能遭到入侵的 EC2 執行個體中的惡意軟體，或檢查 AWS Marketplace 是否有實用的合作夥伴產品來識別和移除惡意軟體。

2. 隔離可能遭到入侵的 Amazon EC2 執行個體

   如果可能，請使用下列步驟隔離可能遭到入侵的執行個體：

   1. 建立專用的隔離安全性群組。

   2. 為輸出規則中0.0.0.0/0 (0-65535)的所有流量建立單一規則。

      套用此規則時，會將所有現有 (和新的) 輸出流量轉換為未追蹤，並封鎖任何已建立的輸出工作階段。如需詳細資訊，請參閱未追蹤的連線。

   3. 從可能遭到入侵的執行個體移除所有目前的安全性群組關聯。

   4. 將隔離安全性群組與此執行個體建立關聯。

      建立關聯之後，從隔離安全性群組的輸出規則中刪除所有流量的規則。0.0.0.0/0 (0-65535)

3. 識別可疑活動的來源

   如果偵測到惡意軟體，請根據您帳戶中的調查結果類型，識別並停止 EC2 執行個體上可能未經授權的活動。這可能需要採取動作，例如關閉任何開啟的連接埠、變更存取政策，以及升級應用程式以修正漏洞。

   如果您無法識別並停止潛在受損 EC2 執行個體上的未經授權活動，建議您終止受感染的 EC2 執行個體，並視需要將其替換為新的執行個體。以下是保護您 EC2 執行個體的其他資源：

   • Amazon EC2 最佳實務中的「安全和網路」一節

   • 適用於 Linux 執行個體的 Amazon EC2 安全群組和適用於 Windows 執行個體的 Amazon EC2 安全群組

   • Amazon EC2 中的安全性

   • 保護您 EC2 執行個體安全的要訣 (Linux)。

   • AWS 安全性最佳做法

   • 基礎結構網域事件 AWS

4. 瀏覽 AWS re:Post

   瀏覽以AWS re:Post尋求進一步協助。

5. 提交技術支援請求

   如果您是付費支援套件訂閱用戶，則可以提交技術支援請求。