View a markdown version of this page

修復可能遭到入侵的 EBS 快照 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 EBS 快照

當 GuardDuty 產生 Execution:EC2/MaliciousFile!Snapshot 調查結果類型時,表示已在 Amazon EBS 快照中偵測到惡意軟體。執行下列步驟來修復可能遭到入侵的快照:

  1. 識別可能遭到入侵的快照

    1. 識別可能遭到入侵的快照。EBS 快照的 GuardDuty 調查結果會在調查結果詳細資訊中列出受影響的快照 ID、其 Amazon Resource Name (ARN) 和相關聯的惡意軟體掃描詳細資訊。

    2. 使用下列命令檢閱復原點詳細資訊:

      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. 限制存取遭入侵的快照

    檢閱和修改備份文件庫存取政策,以限制復原點存取,並暫停可能使用此快照的任何自動還原任務。

    1. 檢閱目前的共用許可:

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. 移除特定帳戶存取權:

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. 如需其他 CLI 選項,請參閱 modify-snapshot-attribute CLI 文件

  3. 採取修復動作

    • 在繼續刪除之前,請確定您已識別所有相依性,並視需要擁有適當的備份。