Hi zusammen,

erstmal in riesigen Dank an die Archlinux Community and das Projekt. Seit dem CCC34 habe ich mich mit Archlinux beschäftigt und seither auf meinen Rechnern umgestiegen. Sogar auf meinem ARM64 EspressoBin SBC nutze ich es. Und es ist unschlagbar.

Jetzt bin ich an einem Punkt angelangt den ich nicht lösen kann und frage euch um Hilfe.

TL;DR

  • rclone via AUR Paket (yay -S) installiert, (yay -R) deinstalliert - dennoch jede Sekunde syslog einträge mit mount Versuchen
  • systemd Einträge händisch gelöscht, mit grep sämtliches System und File durchkämmt und alles zu rclone gelöscht
  • weiterhin sekündliche syslog Einträge (siehe unten syslog Einträge)

System uname -a
Linux T450 5.16.1-arch1-1 #1 SMP PREEMPT Sun, 16 Jan 2022 11:39:23 +0000 x86_64 GNU/Linux

log cat /etc/os-release

NAME="Arch Linux"
PRETTY_NAME="Arch Linux"
ID=arch
BUILD_ID=rolling
ANSI_COLOR="38;2;23;147;209"
HOME_URL="https://archlinux.org/"
DOCUMENTATION_URL="https://wiki.archlinux.org/"
SUPPORT_URL="https://bbs.archlinux.org/"
BUG_REPORT_URL="https://bugs.archlinux.org/"
LOGO=archlinux-logo

syslog Einträge mit sudo syslog-ng -Fdev
[2022-01-21T10:43:18.450514] Outgoing message; message='Jan 11 02:58:18 T450 systemd[1]: Stopped Google Drive (rclone).\x0a'
[2022-01-21T10:43:18.450530] Outgoing message; message='Jan 11 02:58:18 T450 systemd[1]: Started Google Drive (rclone).\x0a'
[2022-01-21T10:43:18.450544] Outgoing message; message='Jan 11 02:58:18 T450 kernel: audit: type=1130 audit(1641866298.553:242892): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=\'unit=rclone comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success\'\x0a'
[2022-01-21T10:43:18.450558] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: Error: unknown flag: --fast-access\x0a'
[2022-01-21T10:43:18.450572] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: Usage:\x0a'
[2022-01-21T10:43:18.450585] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: rclone mount remote:path /path/to/mountpoint [flags]\x0a'
[2022-01-21T10:43:18.450599] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: Flags:\x0a'
[2022-01-21T10:43:18.450613] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: --allow-non-empty Allow mounting over a non-empty directory (not supported on Windows)\x0a'
[2022-01-21T10:43:18.450627] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: --allow-other Allow access to other users (not supported on Windows)\x0a'
[2022-01-21T10:43:18.450646] Outgoing message; message='Jan 11 02:58:18 T450 systemd[1]: Stopped Google Drive (rclone).\x0a'
[2022-01-21T10:43:18.450664] Outgoing message; message='Jan 11 02:58:18 T450 systemd[1]: Started Google Drive (rclone).\x0a'
[2022-01-21T10:43:18.450680] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: Error: unknown flag: --fast-access\x0a'
[2022-01-21T10:43:18.450695] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: Usage:\x0a'
[2022-01-21T10:43:18.450711] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: rclone mount remote:path /path/to/mountpoint [flags]\x0a'
[2022-01-21T10:43:18.450725] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: Flags:\x0a'
[2022-01-21T10:43:18.450741] Outgoing message; message='Jan 11 02:58:18 T450 rclone[255747]: --allow-non-empty Allow mounting over a non-empty directory (not supported on Windows)\x0a'
[2022-01-20T08:58:36.726730] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --no-checksum Don\'t compare checksums on up/download\x0a' [2022-01-20T08:58:36.726746] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --no-modtime Don\'t read/write the modification time (can speed things up)\x0a' [2022-01-20T08:58:36.726761] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --no-seek Don\'t allow seeking in files\x0a' [2022-01-20T08:58:36.726802] Incoming log entry from journal; message=' --noappledouble Ignore Apple Double (._) and .DS_Store files (supported on OSX only) (default true)' [2022-01-20T08:58:36.726819] json-parser(): no marker at the beginning of the message, skipping JSON parsing ; input=' --noappledouble Ignore Apple Double (._) and .DS_Store files (supported on OSX only) (default true)', marker='@cee:' [2022-01-20T08:58:36.726829] json-parser(): no marker at the beginning of the message, skipping JSON parsing ; input=' --noappledouble Ignore Apple Double (._) and .DS_Store files (supported on OSX only) (default true)', marker='@cim:' [2022-01-20T08:58:36.726870] Incoming log entry from journal; message=' --noapplexattr Ignore all "com.apple.*" extended attributes (supported on OSX only)' [2022-01-20T08:58:36.726885] json-parser(): no marker at the beginning of the message, skipping JSON parsing ; input=' --noapplexattr Ignore all "com.apple.*" extended attributes (supported on OSX only)', marker='@cee:' [2022-01-20T08:58:36.726893] json-parser(): no marker at the beginning of the message, skipping JSON parsing ; input=' --noapplexattr Ignore all "com.apple.*" extended attributes (supported on OSX only)', marker='@cim:' [2022-01-20T08:58:36.753231] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --noappledouble Ignore Apple Double (._) and .DS_Store files (supported on OSX only) (default true)\x0a' [2022-01-20T08:58:36.753272] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --noapplexattr Ignore all "com.apple.*" extended attributes (supported on OSX only)\x0a' [2022-01-20T08:58:36.753303] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --noappledouble Ignore Apple Double (._) and .DS_Store files (supported on OSX only) (default true)\x0a' [2022-01-20T08:58:36.753320] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --noapplexattr Ignore all "com.apple.*" extended attributes (supported on OSX only)\x0a' [2022-01-20T08:58:36.753361] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --noappledouble Ignore Apple Double (._) and .DS_Store files (supported on OSX only) (default true)\x0a' [2022-01-20T08:58:36.753382] Outgoing message; message='Jan 10 07:46:18 T450 rclone[3993120]: --noapplexattr Ignore all "com.apple.*" extended attributes (supported on OSX only)\x0a' [2022-01-20T08:58:36.753905] Running application hooks; hook='4'
'

Ich hatte hierzu bei rclone nachgefragt, ob so ein Fall zu erwarten wäre (Link: https://forum.rclone.org/t/rclone-spamming-syslog-messages/28751).

Mittlerweile gehe ich aber eher davon aus, dass es sich um ein komprimiertes System handelt. Daher bin ich euch super dankbar wie ich das konkreter nachforschen kann.

Vielen herzlichen Dank !

Keine Ahnung, was Du Dir da installiert hast aber das Paket rclone gibt es so nicht im AUR. rclone ist normal im Community-Repo verfügbar -> https://archlinux.org/packages/community/x86_64/rclone/
Es enthält auch keine systemd-Dateien, siehe pacman -Fl rclone:
rclone usr/
rclone usr/bin/
rclone usr/bin/rclone
rclone usr/share/
rclone usr/share/bash-completion/
rclone usr/share/bash-completion/completions/
rclone usr/share/bash-completion/completions/rclone
rclone usr/share/doc/
rclone usr/share/doc/rclone/
rclone usr/share/doc/rclone/MANUAL.html
rclone usr/share/doc/rclone/MANUAL.txt
rclone usr/share/licenses/
rclone usr/share/licenses/rclone/
rclone usr/share/licenses/rclone/COPYING
rclone usr/share/man/
rclone usr/share/man/man1/
rclone usr/share/man/man1/rclone.1.gz
rclone usr/share/zsh/
rclone usr/share/zsh/site-functions/
rclone usr/share/zsh/site-functions/_rclone

Du solltest erstmal /var/log/pacman.log checken, welches Paket Du genau installiert hast.

hi @hcjl erstmal vielen Dank für den Hinweis. Ich habe einmal über pacman rclone installiert und einmal via yay. Ich hatte vermutet, dass ich durch eine Installation und Deinstallieren mögliche sytemd Dateien auch lösche.

Die entsprechenden Logs aus dem von dir vorgeschlagenen /var/log/pacman.log anbei:

[2022-01-02T20:49:21+0100] [PACMAN] Running 'pacman -S --config /etc/pacman.conf -- rclone'
[2022-01-02T20:50:15+0100] [ALPM] installed rclone (1.57.0-1)
[2022-01-04T21:55:54+0100] [ALPM] upgraded rclone (1.57.0-1 -> 1.57.0-2)
[2022-01-19T22:22:50+0100] [ALPM] removed rclone (1.57.0-2)
[2022-01-19T22:49:07+0100] [PACMAN] Running 'pacman -R --config /etc/pacman.conf -- rclone'
[2022-01-20T08:46:25+0100] [PACMAN] Running 'pacman -S --config /etc/pacman.conf -- rclone'
[2022-01-20T08:46:27+0100] [ALPM] installed rclone (1.57.0-2)
[2022-01-20T14:39:55+0100] [ALPM] reinstalled rclone (1.57.0-2)
[2022-01-20T14:41:56+0100] [PACMAN] Running 'pacman -R -n -s --config /etc/pacman.conf -- rclone'
[2022-01-20T14:41:57+0100] [ALPM] removed rclone (1.57.0-2)

Die Syslog Einträge zeigen ein Unit File namens rclone welches ich nirgendwo im System finden kann. Noch unerklärlicher ist für mich wie diese rclone mount help prompts sekündlich in den Log Files auftauchen obwohl es kein rclone binary mehr in meinem System gibt.

Bin dir wirklich für jeden Hinweis dankbar, ob ich hier ein ernsthaftes Problem habe. Merci!

Reboot mal gemacht? Vielleicht laufen vom Rumprobieren noch irgendwelche Prozesse im Hintergrund.

  • robr hat auf diesen Beitrag geantwortet.

    Dirk hi Dirk, leider ja gar mehrmals einen reboot durchgeführt. Es ändert sich jedoch nichts an den log Dateien. Ich vermute irgendwo eine binary dir anders heißt als rclone und irgendwie gestartet wird. Aber es gibt keinen anderen User auf dem System - wenn es überhaupt ein Angreifer sein sollte

    Lass mal das syslog-ng-Zeug beiseite und schau ins journal.
    Wenn ich das Log da richtig interpretiere sind das einfach Versuche von systemd den Service von rclone zu starten. Das failed und wird immer wieder versucht (von systemd). Das ist alles was du da siehst.
    Du hast mit Sicherheit noch irgendwo ein selbstgetricktes Servicefile (in /etc/system) liegen das noch aktiv ist und nicht disabled/deaktivert wurde.

    Edit:
    Oder evtl. auch einen systemd-timer zu dem Service laufen? Wenn das Paket dazu nichts liefert muss das ja von Hand angelegt, und aktiviert, worden sein. --> Finden, rueckgaengig machen, loeschen, und du wirst Ruhe haben.

    Edit2:
    Was hat es ueberhaupt mit dem Datum hier auf sich:
    [2022-01-21T10:43:18.450741] Outgoing message; message='Jan 11 02:58:18 T450 rclone
    21.01. vs 11.01. ? Loggst du das irgendwie zentral irgendwohin und das Datum stimmt nicht auf einem der Systeme?

    Edit3:
    Sorry, Editmonolog 🙂
    Wenn das nach extern geloggt wird, so sieht das fuer mich gerade aus, dann sind das evtl. irgendwelche alten Logmessages die dein Sender immer wieder in den Syslogserver spammt?

    • robr hat auf diesen Beitrag geantwortet.

      chepaz owwww shit du bist genial ! Edit3 klingt ziemlich genau danach. Ich hatte in der Vergangenheit viel mit Logging meines Homelabs beschäftigt. Ich checke gleich meine syslog config. Wie du sagst sieht es danach aus, dass syslog etwas versenden will und der inhalt alt ist. Ich deswegen auch nichts mehr auf der platte habe. Du hast meinen Abend gerettet. sorry for being paranoid ...

      Wenn ich bloß wüsste warum ich logs von vor 2 Wochen sehe. Habe jetzt erstmal syslog-ng gelöscht. Der Abend ist ja noch jung.

      Vielen herzlichen Dank für den entscheidenden Hinweis !

      EDIT1: Es war das nachinstallierte syslog-ng, welches ich überreden wollte mit meinem graylog Server zu sprechen. Diese Fehlkonfiguration führte dazu, dass alte Logs als vermeintlich neue in /var/log/message aufgetaucht sind. Und mir zugegebener Maßen einen heiden Panik gemacht haben. @chepaz vielen Dank nochmal für den entscheidenden Hinweis. Ich schulde dir zwei Kaffee 😅

      Freut mich wenn es "nur" das war.