本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 修復可能遭到入侵的 EC2 AMI
<a name="compromised-ami"></a>

當 GuardDuty 產生 Execution：EC2/MaliciousFile！AMI 調查結果類型，表示已在 Amazon Machine Image (AMI) 中偵測到惡意軟體。執行下列步驟來修復可能遭到入侵的 AMI：

1. **識別可能遭到入侵的 AMI**

   1. AMIs 的 GuardDuty 調查結果會在調查結果詳細資訊中列出受影響的 AMI ID、其 Amazon Resource Name (ARN) 和相關聯的惡意軟體掃描詳細資訊。

   1. 檢閱 AMI 來源映像：

      ```
      aws ec2 describe-images --image-ids {{ami-021345abcdef6789}}
      ```

1. **限制存取遭入侵的資源**

   1. 檢閱和修改備份文件庫存取政策，以限制復原點存取，並暫停可能使用此復原點的任何自動還原任務。

   1. 從來源 AMI 許可移除許可

      首先檢視現有的許可：

      ```
      aws ec2 describe-image-attribute --image-id {{ami-abcdef01234567890}} --attribute launchPermission
      ```

      然後移除個別許可：

      ```
      aws ec2 modify-image-attribute --image-id {{ami-abcdef01234567890}} --launch-permission '{"Remove":[{"UserId":"{{111122223333}}"}]}'
      ```

      如需其他 CLI 選項，請參閱[與特定帳戶共用 AMI - Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html#unsharing-an-ami)

   1. 如果來源是 EC2 執行個體，請參閱：[修復可能遭到入侵的 Amazon EC2 執行個體](https://docs.aws.amazon.com/guardduty/latest/ug/compromised-ec2.html)。

1. **採取修復動作**
   + 在繼續刪除之前，請確定您已識別所有相依性，並視需要擁有適當的備份。