本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 修復可能遭到入侵的 EC2 復原點
<a name="compromised-ec2-recoverypoint"></a>

當 GuardDuty 產生 Execution：EC2/MaliciousFile！RecoveryPoint 調查結果類型時，表示已在 EC2 Recovery Point Backup 資源中偵測到惡意軟體。執行下列步驟來修復可能遭到入侵的復原點：

1. **識別可能遭到入侵的 EC2 復原點**

   1. EC2 復原點的 GuardDuty 調查結果會在調查結果詳細資訊中列出其 Amazon Resource Name (ARN) 和相關聯的惡意軟體掃描詳細資訊：

      ```
      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
      ```

   1. 檢閱復原詳細資訊以尋找來源映像：

      ```
      aws backup get-recovery-point-restore-metadata --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
      ```

1. **限制存取遭入侵的資源**
   + 檢閱和修改備份保存庫存取政策，以限制復原點存取，並暫停可能使用此復原點的任何自動還原任務。如果您的環境使用資源標記，請適當地標記復原點，以表示正在調查中，並視需要考慮暫停排程備份。

     範例：

     *aws 備份標籤-resource -—resource-arn arn：aws：backup：us-east-1：111122223333：recovery-point：a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 -—tags Investigation=Malware，DoNotDelete=True*

1. **採取修復動作**
   + 在繼續刪除之前，請確定您已識別所有相依性，並視需要擁有適當的備份。