本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 修復可能遭到入侵的 Amazon EC2 執行個體 當 GuardDuty 產生[指出可能洩露 Amazon EC2 資源的調查結果類型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table)時,您的**資源**將是**執行個體**。潛在問題清單類型可以是 [EC2 調查結果類型](guardduty_finding-types-ec2.md)、 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md)或 [EC2 調查結果類型的惡意軟體防護](findings-malware-protection.md)。如果您的環境中預期造成問題清單的行為,請考慮使用 [隱藏規則](findings_suppression-rule.md)。 執行下列步驟來修復可能遭到入侵的 Amazon EC2 執行個體: 1. **識別可能遭到入侵的 Amazon EC2 執行個體** 調查可能遭盜用的執行個體是否受惡意軟體攻擊,並移除任何發現的惡意軟體。您可以使用 [GuardDuty 中的隨需惡意軟體掃描](on-demand-malware-scan.md) 來識別可能遭到入侵的 EC2 執行個體中的惡意軟體,或檢查 [AWS Marketplace](https://aws.amazon.com/marketplace) 是否有實用的合作夥伴產品來識別和移除惡意軟體。 1. **隔離可能遭到入侵的 Amazon EC2 執行個體** 如果可能,請使用下列步驟隔離可能遭到入侵的執行個體: 1. 建立專用**隔離**安全群組。隔離安全群組只能從特定 IP 地址進行傳入和傳出存取。請確定沒有允許 流量的傳入或傳出規則`0.0.0.0/0 (0-65535)`。 1. 將**隔離**安全群組與此執行個體建立關聯。 1. 從可能遭到入侵的執行個體中移除新建立**的隔離**安全群組以外的所有安全群組關聯。 **注意** 現有的追蹤連線不會因為變更安全群組而終止 - 只有未來的流量會被新的安全群組有效封鎖。 如需有關封鎖來自可疑現有連線之進一步流量的資訊,請參閱《*事件回應手冊*[》中的根據網路 IoCs 強制執行 NACLs,以防止進一步流量](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic)。 1. **識別可疑活動的來源** 如果偵測到惡意軟體,請根據您帳戶中的調查結果類型,識別並停止 EC2 執行個體上可能未經授權的活動。這可能需要採取動作,例如關閉任何開啟的連接埠、變更存取政策,以及升級應用程式以修正漏洞。 如果您無法在可能遭到入侵的 EC2 執行個體上識別和停止未經授權的活動,我們建議您終止遭入侵的 EC2 執行個體,並視需要將其取代為新的執行個體。以下是保護您 EC2 執行個體的其他資源: + [Amazon EC2 最佳實務](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html)中的「安全和網路」一節 + [Linux 執行個體的 Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。 + [Amazon EC2 中的安全性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [保護您 EC2 執行個體安全的要訣 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)。 + [AWS 安全最佳實務](https://aws.amazon.com//architecture/security-identity-compliance/) + [AWS 安全事件回應技術指南](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html)。 1. **瀏覽 AWS re:Post** 瀏覽[AWS re:Post](https://repost.aws/)以取得進一步協助。 1. **提交技術支援請求** 如果您是付費支援套件訂閱用戶,則可以提交[技術支援](https://console.aws.amazon.com/support/home#/case/create?issueType=technical)請求。