本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 修复可能失陷的 Amazon EC2 实例 当 GuardDuty 生成[表明可能受损的 Amazon EC2 资源的查找类型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table)时,您的**资源**将是**实例**。潜在的调查发现类型可能是 [EC2 调查发现类型](guardduty_finding-types-ec2.md)、[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md) 或 [EC2 恶意软件防护调查发现类型](findings-malware-protection.md)。如果导致该调查发现的行为是环境中的预期行为,则可以考虑使用[抑制规则](findings_suppression-rule.md)。 执行以下步骤来修复可能失陷的 Amazon EC2 实例: 1. **识别可能失陷的 Amazon EC2 实例** 调查可能遭盗用实例中的恶意软件,并清除任何发现的恶意软件。您可以用 [按需扫描恶意软件 GuardDuty](on-demand-malware-scan.md) 来识别可能受攻击的 EC2 实例中的恶意软件,或查看 [AWS Marketplace](https://aws.amazon.com/marketplace) 是否有可提供帮助的合作伙伴产品,来识别和删除恶意软件。 1. **隔离可能失陷的 Amazon EC2 实例** 如果可能,请使用以下步骤隔离可能失陷的实例: 1. 创建专用**隔离**安全组。隔离安全组只允许从特定 IP 地址进行入站和出站访问。确保没有允许 `0.0.0.0/0 (0-65535)` 流量的入站或出站规则。 1. 将**隔离**安全组关联到此实例。 1. 除新创建的**隔离**安全组以外,从可能失陷实例中移除所有安全组关联。 **注意** 现有跟踪的连接不会因安全组的更改而终止,只有未来的流量才会被新安全组有效阻止。 有关阻止来自可疑现有连接的更多流量的信息,请参阅《*事件响应手册*》中的 “[ NACLs 基于网络强制 IoCs 以防止更多流量](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic)”。 1. **确定可疑活动源** 如果检测到恶意软件,则根据您账户中的调查发现类型,识别并阻止 EC2 实例上潜在的未经授权活动。这可能需要执行一些操作,例如,关闭任何打开的端口、更改访问策略以及升级应用程序以修复漏洞。 如果您无法识别和阻止可能失陷 EC2 实例上的未经授权活动,我们建议您终止失陷的 EC2 实例,然后根据需要使用新实例进行替换。以下是可以保护您 EC2 实例的其他资源: + [Amazon EC2 最佳实践](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html)中的“安全和网络”部分 + [适用于 Linux 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。 + [Amazon EC2 中的安全性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [保护 EC2 实例的技巧 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)。 + [AWS 安全最佳实践](https://aws.amazon.com//architecture/security-identity-compliance/) + AWS 《[安全事件响应技术指南》](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html)。 1. **浏览 AWS re:Post** 浏览 [AWS re:Post](https://repost.aws/) 以获得更多帮助。 1. **提交技术支持请求** 如果您是 Premium Support 服务包的订阅用户,您可以提交[技术支持](https://console.aws.amazon.com/support/home#/case/create?issueType=technical)请求。