我正在一台显然被黑客入侵的机器上进行一些取证。 (谢谢,systemd 和你解决缓冲区溢出问题。那太棒了。:/)
无论如何,我有一对具有异常文件名的 0 长度文件,/home/some-username每当该用户启动 PyCharm 时,它们都会在用户目录中重新生成。他们在这里,逃脱的和未逃脱的:
不用说,不要将这些内容复制并粘贴到您的终端中。我显然不知道这些是做什么的。但我认为这值得一说。
逃脱:
\0010\005@@X\f@8\b@!\036\006\005@@@@@\300\001\300\001\b\003\004\002\002@\002@\034\034\001\001\005@@\214\b\214\b
和
0M\375+
未转义:
?0?@@X?@8?@!???@@@@@?????????@?@?????@@????
和
0M?+
我很感激解码这些文件名的任何帮助,或者至少指向学习资源。
另外,关于准确追踪这些小问题的产生原因的任何建议。lsof?inotify工具?有什么想法吗?
实际上,我很感激任何关于弄清楚这台机器上可以挽救什么以及如何安全地从用户目录备份数据的建议,或者如果这是一个好主意,但这可能超出了这个问题的范围,所以感觉除非你有动力,否则可以忽略最后一点。
是的,有问题的机器现在离线了。
提前致谢。