The Honeynet Project

-取证分析挑战5：日志中的神秘现象- (由Bay Area分支团队的Raffael Marty、Hawaiian分支团队的Anton Chuvakin、French分支团队的Sebastien Tricaud提供) 将带您进入

虚拟系统和混杂日志数据所组成的世界，您的任务是分析从一台可能被攻陷服务器获取到的所有日志文件，以确定这台虚拟服务器上出了什么事情。
本次取证分析挑战的问题比以往的分析挑战更加开放一些，如果想得到更高的评价得分，我们建议您尽量按如下方式来回答问题:

• • 解答的准确性是高度强调的。
• • 您必须解释你所使用的工具和如何使用的。
• • 如果您使用了可视化工具如afterglow, picviz, graphviz, gnuplot等，请解释使用这些工具的好处，如更好的时间线表达等。
• • 请概述您是如何解决问题的。

请在2010年9月30日17:00 EST前将您的解答提交到:http://www.honeynet.org/challenge2010/，请使用附件中给出的模板。取证分析挑战

的结果将在2010年10月21日前公布。如果您有任何问题，请联系forensicchallenge2010@honeynet.org.
难度等级：中级
Enjoy the challenge!
取证分析挑战:
分析附件中的sanatized_log.zip日志文件，并回答如下的问题：

1. 系统被攻陷了吗？你是如何确认的？ (5pts)
2. 如果服务器被攻陷了，请描述攻击的方法？(5pts)
3. 你能找出有多少攻击者攻击失败吗？有多少攻击成功？多少攻击在第一次成功后被阻断了？(5pts)
4. 日志文件中是否显示出存在一个被其他人用于访问这台机器的后门工具？ (5pts)
5. 请指出认证日志的位置，其中是否包含了暴力破解攻击的记录？如有，进行了多少次？ (5pts)
6. 请给出重要事件的时间线，你对这些时间点的把握性多大？ (5pts)
7. 在日志中还有其他看起来很可疑的地方吗？是误配置吗？还是其他问题？ (5pts)
8. 是否是通过一个自动化的工具发起攻击？如果是，是哪个工具？ (5pts)
9. 你认为攻击者的目标和方法是什么？ (5pts)

奖励分：您能够使用什么方法来避免这次攻击？ (5pts)
下载:
[your email]_Forensic Challenge 2010 - Challenge 5 - Submission Template.doc

Sha1: 094dd157601fc9390f2b4c0bc0f138e6126fe6de
[your email]_Forensic Challenge 2010 - Challenge 5 - Submission Template.odt

Sha1: b15eef164e059d7d5184cd8d2062c9fe4ff7ab31

sanatized_log.zip Sha1: 5d317ecf8147cafc0239166e47139afea3200c5b