Amazon GuardDuty 检测到我的 Amazon Elastic Compute Cloud (Amazon EC2) 实例出现 UnauthorizedAccess:EC2/RDPBruteForce or UnauthorizedAccess:EC2/SSHBruteForce 调查发现类型警示。
简短描述
暴力攻击可能表明,存在对您的 AWS 资源的未经授权访问。有关更多信息,请参阅 UnauthorizedAccess:EC2/RDPBruteForce 和 UnauthorizedAccess:EC2/SSHBruteForce 调查发现类型。
解决方法
按照以下说明查看 GuardDuty 调查发现类型描述、调查发现 ID 和检测器 ID,了解有关暴力攻击的更多详细信息。
**注意:**如果在运行 AWS 命令行界面 (AWS CLI) 命令时遇到错误,请参阅排查 AWS CLI 错误。此外,确保您使用的是最新版本的 AWS CLI。
查看 GuardDuty 调查发现类型描述
按照说明查看和分析您的 GuardDuty 调查发现。
在调查发现详细信息窗格中,记下调查发现类型的标题,类似于以下内容:
"198.51.100.0 is performing RDP brute force attacks against i-99999999.Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password."
在此示例中,描述指出了哪个 Amazon EC2 实例受到影响、暴力攻击的方向以及 IP 地址。
查看 GuardDuty 调查发现 ID 和检测器 ID
要查看 GuardDuty 检测器 ID 和检测器 ID,请按照以下步骤操作:
-
打开 GuardDuty 控制台。
-
在导航窗格中,选择调查发现。
-
在调查发现类型中,选择 UnauthorizedAccess 调查发现类型。
-
在调查发现类型详细信息窗格中,选择调查发现 ID。
-
在调查发现 JSON 中,记下 GuardDuty 的调查发现和检测器 ID。
-
运行此 AWS CLI 命令:
**注意:**将 your-detector-id 和 your-findings-id 替换为您的 GuardDuty 检测器和调查发现 ID。
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'
您将收到类似于以下内容的输出:
[ "INBOUND"
]
-
运行此 AWS CLI 命令:
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'
您将收到类似于以下内容的输出:
[ "198.51.100.0"
]
在此示例中,Amazon EC2 实例安全组允许 SSH/RDP 流量,从而允许访问互联网上的所有流量。
为了缓解该问题,您可以仅限制一组有权访问 Amazon EC2 实例的 IP 地址的 SSH/RDP 流量。
要限制 SSH 流量,请为 Linux 实例添加入站 SSH 流量规则。
要限制 RDP 流量,请为 Windows 实例添加入站 RDP 流量规则。
相关信息
如何使用 Amazon GuardDuty 和 AWS Web Application Firewall 自动屏蔽可疑主机
如何使用 GuardDuty 来识别针对 Linux 实例的 SSH 暴力攻击?
如何为 GuardDuty 设置可信 IP 地址列表?