Pergunta sobre máquina hackeada e caracteres especiais no nome do arquivo

1

Eu estou fazendo um pouco de perícia em uma máquina que aparentemente foi hackeada. (Obrigado, systemd e sua coisa estouro buffer buffer. Isso foi incrível.: /)

De qualquer forma, tenho um par de arquivos de tamanho 0 com nomes de arquivos anômalos que são gerados novamente no diretório de usuário /home/some-username sempre que o PyCharm é iniciado por esse usuário. Aqui estão eles, escaparam e não escaparam:

Não é preciso dizer, NÃO copie e cole essas coisas no seu terminal. Eu claramente não tenho ideia do que eles fazem. Mas eu achei que valeria a pena dizer.

Escapado:

0M5+10?0?@@X?@8?@!???@@@@@?????????@?@?????@@????5@@X\f@8\b@!60M?+6lsof5@@@@@0inotify10%code%1\b%code%3%code%4%code%2%code%2@%code%2@44%code%1%code%1%code%5@@4\b4\b

e

%code%

Sem escape:

%code%

e

%code%

Eu gostaria de receber ajuda para decodificar esses nomes de arquivos ou, pelo menos, indicar os recursos de aprendizado.

Além disso, quaisquer sugestões para rastrear exatamente o que está gerando esses pequenos bugs. %código%? %code% tools? Alguma idéia?

Na verdade, gostaria de receber sugestões sobre como descobrir o que pode ser recuperado nessa máquina e como posso fazer o backup de dados com segurança a partir do diretório do usuário ou se é uma boa ideia, mas isso está além do escopo desta pergunta. , então sinta-se à vontade para ignorar este último momento, a menos que esteja motivado.

E sim, a máquina em questão agora está off-line.

Obrigado antecipadamente.

    
por Chris Larson 02.07.2017 / 11:00

0 respostas