BO2000后门攻击的防护

　　BO2000是一个有名的后门程序，它可以搜集信息，执行系统命令，重新设置机器及重定向网络。只要远程机器执行了BO2000 Server程序，攻击者就可以连接这部机器，执行上述动作。虽然BO2000可以当做一个简单的监视工具，但它主要的目的还是控制远程机器和搜集资料。BO2000匿名登录和可能恶意控制远程机器的特点，使它成为在网络环境里一个极其危险的黑客攻击工具。

　　如图9-10所示，防范体系对BO2000后门攻击的防护过程如下：

　　黑客使用BO2000的客户端软件通过Internet对被保护网络中的节点A进行操作。

　　该攻击行为首先被基于网络的IDS检测到，或者由节点A上的基于主机的IDS或网络隐患扫描评估软件发现该后门端口。当网络IDS或该主机IDS或隐患扫描系统检测到BO2000攻击行为信息后，立即向体系管理平台报告。

　　体系管理平台在收到相关报警信息后，会通知防火墙，由防火墙将该连接切断。

　　图9-10 防范体系对BO2000后门攻击的防护效果示意图

　　防火墙将攻击连接切断。

　　体系管理平台通知节点A的抗毁系统启动，进行信息完整性检查，并使用防病毒软件清除该后门程序(该步骤一般需要调动安全事件响应队伍进行响应工作，可使用查杀病毒软件来清除该后门)，并调用主机A的取证机上的相关记录来分析后门的安装原因和攻击来源。

　　防火墙、抗毁系统和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

　　体系管理平台在将处理结果记录入库后，将处理结论反馈给最初攻击信息的报告者。

　　通知网络安全评估系统对经过上述处理的节点A进行扫描评估。

　　扫描评估系统将扫描结果向管理平台报告，若仍有问题，进入下一个处理流程，若没有问题，则将扫描评估系统的扫描结果存档即可。

　　体系管理平台及时将这次攻击处理的相关信息通知安全管理员，由安全管理员根据具体情况进行处理。