Ik wou mijn OpenClaw iets vragen en hij deed er redelijk lang over.

Hm, weird. Maar OpenClaw heeft soms de neiging om wat raar te doen, dus ik laat hem in de achtergrond zijn ding doen en ik kom een paar minuten later terug.

Huh. Geen antwoord. Dode OpenClaw. Allez, ’t is te zeggen: geen respons.

Nog even wachte: echt dode OpenClaw. Gelijk, niet draaiende. Ik wacht even, en hopla terug, maar geen goed nieuws:

…en weer vast. Deze keer met een 500, server plat. Hm.

Even ssh-en naar het VPS — huh, tiens, geen antwoord? Okay, dan naar mijn dashboard bij de provider gaan kijken — euh, wut?

Bon, na wat aandringen toch binnengeraakt op een terminal, en wat was het? Een snelle journalctl later blijkt: honder’den en honderden bots die aan het proberen ware om in te loggen, voor users gelijk david, ubuntu, alex, claude, john, etc. etc. etc. Ze proberen stapels connecties per seconden open te doen, en aangezien de server telkens een nieuwe sshd moet forken, kwam die gewoon in geheugenproblemen. Ik heb wel genoeg geheugen, maar het is ook niet onbeperkt, en dus had ik een extreem geval van page cache thrashing: dingen wegmijten, weer van de schijf lezen, weer wegmijten, lather, rinse, repeat.

Gevolg: constant 400% cpu load, en 2 Gbps disk throughput.

Enfin, ik heb mijn poort 22 dan maar helemaal toegesmeten en ssh naar een andere poort overgezet. Alles weer OK. Pff.



Reacties

2 reacties op “HACKED! (bijna)”

  1. Fail2ban opzetten, of nog beter: alles achter Wireguard of Tailscale, en geen rechtstreeks inkomende trafiek toelaten…

  2. Ik laat onze Jean-Claude elke dag de VPS (ook Hetzner) kritisch doorlichten, en me rapporteren. Fail2ban doet al wonderen. Een weekje getraind en elke zondag eens in twijfel trekken wat ie zegt, en doet wonderen. Heeft zelf zowat gans de VPS zelf opgezet en beveiligd, Grafana erbij en Glances zodat ik ziet wat er gebeurt. Elke CPU of Ram die een piek heeft, moet ie verantwoorden. Doet ie goed.