收到 AWS Abuse Report,該怎麼辦?

2022/10/25

當您收到 AWS Abuse Report時,有可能是基於下列不合規因素,而被原廠通知:

- 垃圾郵件:您的 AWS 資源 (可能是 IP 地址) 發送垃圾郵件。

- 端口掃描:您的 AWS 資源 (可能是 IP 地址) 正在向他人服務器上的多個端口發送數據包。

- 服務 (DoS) 攻擊:您的 AWS 資源 (可能是 IP 地址) 正在向他人資源的端口發送數據包,企圖使他人的服務器或服務器上運行的應用程式不堪重負或崩潰。

- 入侵嘗試:您的 AWS 資源 IP 地址在嘗試登錄他人的資源。

- 託管違禁內容:您的 AWS 資源 (可能是 IP 地址、URL) 未經版權所有者同意託管或使用違禁內容,例如非法內容或受版權保護的內容。

- 分發惡意軟件:您的 AWS 資源散布惡意的應用程式,造成他人的資源損害。


我收到 Abuse Report 後,下一步是?

AWS 信任與安全團隊會將濫用報告發送給您 AWS 根帳戶 (Root Account) 的安全聯繫人。如果未列出安全聯繫人,AWS 信任與安全團隊將使用您根帳戶 (Root Account) 中列出的電子郵件地址與您聯繫。

當您收到 AWS 的濫用通知,執行以下操作:

1.檢查濫用通知以查看報告的內容或活動。信件通知會說明涉及濫用情況的日誌。

2.自我確認,請確認該內容或活動是否是您本人所為,或基於您的商業模式上活動是否是常規行為,例如: 大量向特定端口發送數據包、大量訪問特定資源。

3.請直接依該 Abuse Report 信件回覆信息,解釋您如何防止濫用活動在未來再次發生,或者說明此次活動基於商業模式屬於常規行為。注意:如果您未在24 小時內回覆濫用通知,AWS 可能會阻止您的資源或者暫停您的AWS 根帳戶。


如果需要更多信息,請直接回覆 AWS 信任與安全團隊發送的電子郵件。該團隊可以向通報者請求提供其他信息。AWS 信任與安全團隊不提供技術支持,若您在控制台上開立 Support Case 將無法獲得對應的回覆。


信件通知說明內容,包含:

1.AWS Account ID

2.EC2 Instance ID

3.地區 Region

4.活動類型 Activity type (例如 Dos )

5.濫用時間 Abuse Time

6.端口 Port Numbers

7.AWS 實例的公有 IP

8.目標服務器的公有IP、私有IP、URL、端口

9.發送和接收的數據包數 (如果發生任何數據傳輸)

10.濫用活動的開始和結束時間 (如果活動已經結束)

11.Logs 日誌 – 瀏覽日誌識別 AWS 實例中涉及的事件類型


如果我發現我的 AWS 帳戶出現未授權的活動,該怎麼辦?

如果您在 AWS 帳戶中發現未經授權的活動,或者您認為未經授權的一方訪問了您的帳戶,請執行以下操作:

1.刪除更換所有根帳號和 AWS Identity and Access Management (IAM) 的訪問密鑰。

2.刪除任何可能未經授權的 IAM 用戶,然後更改所有其他 IAM 用戶的密碼

3.檢查你的帳單。您的帳單可以幫助您識別不是您創建的資源。

4.刪除您帳戶上未創建的所有資源,例如Amazon Elastic Compute Cloud (Amazon EC2) 實例和 AMIAmazon Elastic Block Store (Amazon EBS) 快照以及IAM 用戶

注意:在刪除您的資源之前,請考慮您是否有監管或法律需要調查這些資源。如果是這樣,請考慮保留一些 EBS 資源的快照

5.對根帳戶和任何具有控制台訪問權限的 IAM 用戶啟用多重身份驗證 (MFA)(選擇性)。啟用 MFA 可以幫助您保護帳戶並防止未經授權的用戶在沒有安全令牌的情況下登錄帳戶。

6.驗證您的帳戶信息是否正確。

注意:如果您無法登錄您的帳戶,請使用聯繫我們表單向 AWS Support 請求幫助。該表單還包括有關如何重置密碼的說明。


如果我發現我的資源被濫用,我要如何通報 AWS 呢?

如果您懷疑 AWS 資源被濫用,請使用報告 Amazon AWS 濫用表格聯繫 AWS 信任與安全團隊,或聯繫 abuse@amazonaws.com。提交請求時,提供所有必要信息,包括日誌、電子郵件標題等。

AWS 信任與安全團隊將使用您在此表單中提供的信息來調查並嘗試解決您報告的事件。如果有必要調查您的報告,我們可能會分享您的信息。

注意: AWS Support 無法協助舉報濫用行為或有關 AWS 信任與安全團隊通知的問題。如果您對 AWS 信任與安全團隊有任何疑問,請直接回覆他們的電子郵件。


常見 Abuse Report 範本

信件標題通常為” Your AWS Abuse Report [Case Number] [AWS ID]

[活動類型] 服務 (DoS) 攻擊:


服務 (DoS) 攻擊


[活動類型] 端口掃描:



端口掃描


[活動類型] 託管違禁內容,受版權保護的內容:



受版權保護的內容


[活動類型] 託管違禁內容,非法的內容:



非法的內容



當您未能在24 小時內回覆濫用通知,AWS 可能會阻止您的資源或者暫停您的AWS 根帳戶,如下圖所示:


AWS 可能會阻止您的資源或者暫停您的AWS 根帳戶


參考:

https://aws.amazon.com/tw/premiumsupport/knowledge-center/report-aws-abuse/

https://aws.amazon.com/cn/premiumsupport/knowledge-center/aws-abuse-report/

https://aws.amazon.com/tw/premiumsupport/knowledge-center/potential-account-compromise/




其他訊息