取证分析挑战5志中的神秘现象（中级）.docVIP

取证分析挑战5：日志中的神秘现象(中级) 本次取证分析挑战(由Bay Area分支团队的Raffael Marty、Hawaiian分支团队的Anton Chuvakin、French分支团队的Sebastien Tricaud提供)将带您进入虚拟系统和混杂日志数据所组成的世界，您的任务是分析从一台可能被攻陷服务器获取到的所有日志文件，以确定这台虚拟服务器上出了什么事情。 本次取证分析挑战的问题比以往的分析挑战更加开放一些，如果想得到更高的评价得分，我们建议您尽量按如下方式来回答问题： 解答的准确性是高度强调的。 您必须解释你所使用的工具和如何使用的。 如果您使用了可视化工具如afterglow, picviz, graphviz, gnuplot等，请解释使用这些工具的好处，如更好的时间线表达等。 请概述您是如何解决问题的。 提交模板 请在2010年9月30日17:00 EST前将您的解答提交到 /challenge2010/，取证分析挑战的结果将在2010年10月21日前公布。 姓名 (必需): Email (必需): 国家 (可选): 职业 (可选):  _ 学生  _ 安全职业者 _ 其他 问题1：系统被攻陷了吗？你是如何确认的？ 可能分数： 使用的工具: 得分: 解答: 问题2：如果服务器被攻陷了，请描述攻击的方法？ 可能分数 使用的工具: 得分: 解答: 问题3：你能找出有多少攻击者攻击失败吗？有多少攻击成功？多少攻击在第一次成功后被阻断了？ 可能分数 使用的工具: 得分: 解答: 问题4：日志文件中是否显示出存在一个被其他人用于访问这台机器的后门工具？ 可能分数 使用的工具: 得分: 解答: 问题5：请指出认证日志的位置，其中是否包含了暴力破解攻击的记录？如有，进行了多少次？ 可能分数 使用的工具: 得分: 解答: 问题6：请给出重要事件的时间线，你对这些时间点的把握性多大？ 可能分数 使用的工具: 得分: 解答: 问题7：在日志中还有其他看起来很可疑的地方吗？是误配置吗？还是其他问题？ 可能分数 使用的工具: 得分: 解答: 问题8：是否是通过一个自动化的工具发起攻击？如果是，是哪个工具？ 可能分数 使用的工具: 得分: 解答: 问题9：你认为攻击者的目标和方法是什么？ 可能分数 使用的工具: 得分: 解答: 奖分：您能够使用什么方法来避免这次攻击？ 可能分数 使用的工具: 得分: 解答: