修復可能遭到入侵的 EBS 快照 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 EBS 快照

當 GuardDuty 產生 Execution:EC2/MaliciousFile!Snapshot 調查結果類型時,表示已在 Amazon EBS 快照中偵測到惡意軟體。執行下列步驟來修復可能遭到入侵的快照:

  1. 識別可能遭到入侵的快照

    1. Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review recovery point details using the following command: 
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. 限制存取遭入侵的快照

    檢閱和修改備份保存庫存取政策,以限制復原點存取,並暫停可能使用此快照的任何自動還原任務。

    1. 檢閱目前的共用許可:

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. 移除特定帳戶存取權:

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. 如需其他 CLI 選項,請參閱 modify-snapshot-attribute CLI 文件

  3. 採取修復動作

    • 在繼續刪除之前,請確定您已識別所有相依性,並視需要擁有適當的備份。