为什么会收到我的 Amazon EC2 实例的 GuardDuty 调查结果类型警报 Recon:EC2/PortProbeUnprotectedPort?
上次更新日期:2020 年 10 月 28 日
Amazon GuardDuty 检测到我的 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Recon:EC2/PortProbeUnprotectedPort 调查结果类型警报。
简短描述
GuardDuty 调查结果类型 Recon:EC2/PortProbeUnprotectedPort 意味着 Amazon EC2 实例具有一个正在受已知恶意主机探测的不受保护端口。
解决方案
请使用以下最佳实践保护不受保护的端口,或者删除入站规则:
- 按照说明查看并分析您的 GuardDuty 调查结果。
- 在调查结果详细信息窗格中,记录端口号。
- 如果不受保护的端口为 22 (Linux),则您可以通过遵循为 Linux 实例的入站流量授权中的说明限制访问。
- 如果不受保护的端口为 3389 (Windows),则您可以通过遵循为 Windows 实例的入站流量授权中的说明限制访问。
- 如果不受保护的端口为 80 或 443 并且您需要让这些端口保持打开状态,则可以将 EC2 实例置于负载均衡器后面。
- 如果端口上没有任何应用程序运行并且不需要处于打开状态,则您可以删除 EC2 实例安全组的入站规则和 iptables 规则。
- 如果不需要保护不受保护的端口,则您可以忽略 Recon:EC2/PortProbeUnprotectedPort 调查结果类型。