修復可能遭到入侵的 EC2 AMI - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 EC2 AMI

當 GuardDuty 產生 Execution:EC2/MaliciousFile!AMI 調查結果類型時,表示已在 Amazon Machine Image (AMI) 中偵測到惡意軟體。執行下列步驟來修復可能遭到入侵的 AMI:

  1. 識別可能遭到入侵的 AMI

    1. A GuardDuty finding for AMIs will list the affected AMI ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review AMI source image: 
      aws ec2 describe-images --image-ids ami-021345abcdef6789

  2. 限制存取遭入侵的資源

    1. 檢閱和修改備份保存庫存取政策,以限制復原點存取,並暫停可能使用此復原點的任何自動還原任務。

    2. 從來源 AMI 許可移除許可

      首先檢視現有的許可:

      aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission

      然後移除個別許可:

      aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'

      如需其他 CLI 選項,請參閱與特定帳戶共用 AMI - Amazon Elastic Compute Cloud

    3. 如果來源是 EC2 執行個體,請參閱:修復可能遭到入侵的 Amazon EC2 執行個體

  3. 採取修復動作

    • 在繼續刪除之前,請確定您已識別所有相依性,並視需要擁有適當的備份。