Começar com a suposição é provavelmente muito restritivo. Você deve gerar uma lista de possíveis causas do pico e tentar invalidá-las com base no cumprimento de seus pré-requisitos e / ou efeitos resultantes disponíveis ou não.
Sem saber sua configuração exata, parece haver pelo menos as seguintes possibilidades que podem tê-las causado
-
a causa era local e, nesse caso, você deve procurar por entradas nos arquivos de log. Você não viu um cron job agendado, não nos Logs? Ou você viu o crontab de
rsyncuser
? Ou também nos trabalhos agendados diários / horários etc. O cron deroot
. -
a causa era externa. Para verificar se isso é possível, verifique se esse usuário está executando o daemon rsync (se você o tiver, via / init). Ou se alguém puder fazer login remotamente na conta e tentar iniciar a cópia de arquivos (que também devem ter deixado rastros nos arquivos de log).
Eu provavelmente também investigaria se a conta rsyncuser
tem uma senha e / ou chaves públicas ssh para ver se alguém poderia fazer login nessa conta. E se alguém com acesso root pudesse ter iniciado isso.