%3F.png)
За последние несколько дней у меня в системном журнале/журнале более тысячи раз в секунду появлялось сообщение. Как узнать, откуда оно пришло?
# journalctl --system | grep "testing the buffer" | uniq --count
1522 Apr 06 13:49:31 laptop unknown: testing the buffer
Итак, 1522 раза одно и то же сообщение от "неизвестного". Возможно ли, что это вредоносное?
# find / -xdev -type f -print0 | xargs -0 grep "testing the buffer" | grep -v /var/log/journal
Exit 1
Ни один системный файл не содержит такую строку!
Система использует systemd-journaldдля системных журналов.
решение1
Похоже, это связано с последней версией ядра (5.6.x).
Если вы отслеживаете журнал с подробным уровнем
sudo journalctl -f -o verbose
Вы можете увидеть _TRANSPORT=kernel
Sun 2020-04-12 09:32:38.852081 CEST [s=ca0e47a50a2047e483013075418f4a72;i=1d58f89;b=343f4563d34649baad6f57aacc0320a1;m=e9cad4480;t=5a312f895b1f1;x=16d4d0c3d713857c]
_MACHINE_ID=*******
_HOSTNAME=*******
_TRANSPORT=kernel
PRIORITY=4
SYSLOG_FACILITY=1
MESSAGE=testing the buffer
_BOOT_ID=343f4563d34649baad6f57aacc0320a1
_SOURCE_MONOTONIC_TIMESTAMP=62758810437
Действительно, для OpenSUSE указана ошибкаhttps://bugzilla.opensuse.org/show_bug.cgi?id=1168664(но это связано с ядром, у меня Ubuntu) исправлено как остатки minot вhttps://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=41c55ea6c2a7ca4c663eeec05bdf54f4e2419699
К счастью, беспокоиться не о чем, проблема исчезнет, когда исправление будет включено в пакетное ядро...
решение2
- Строка «тестирование буфера» находится внутри файла ядра 5.6.5
./net/bpfilter/main.c - Я ожидаю, что это безобидное сообщение DEBUG исчезнет в будущих версиях ядра.
- Я нашел источник этого сообщения следующим образом:
- В оболочке bash войдите в корень исходного дерева ядра 5.6.5
- Выполнение:
для меня в
find . -name "*.c"делать эхо $i grep "тестирование буфера" $i сделано > pq.log - Внутри файла pq.log находим строку для каждого открытия и проверяем файл с помощью
vi pq.log