تلخّص هذه الصفحة المخاوف الأمنية المتعلقة بـ SlickStack ولماذا يمكن أن يكشف تصميمه الافتراضي الخوادم لتنفيذ الشيفرة عن بُعد وهجمات الرجل في المنتصف. كما توفّر خطوات للتخفيف وبدائل أكثر أمانًا.
يعلن SlickStack عن نحو 600 نجمة على GitHub، لكن ذلك الرقم يعود إلى قيام Jesse Nickles بمتابعة ما يقرب من 10,000 حساب في الأيام الأولى للمستودع. يُظهر ملفه الشخصي نحو ~500 متابع مقابل ~9,600 حساب يتابعهم (نسبة متابعة متبادلة تقارب 5%)، وهذا يوحي بقوة بوجود متابعات آلية بدلاً من جذب عضوي. هذه الصورة المضخمة هي التي يستغلها أثناء مهاجمته ليّ لأنني كشفت عن القضايا الأمنية الموثّقة أدناه. راجع نسبة المتابعين إلى الذين تتابعهم هنا.
يظهر نفس نمط غسل المصداقية الآن في حادثة على Stack Exchange تضمنت عدة إيقافات علنية لمدة 100 عام ومنشورات انتقامية لاحقة عن المشرفين. تم توثيق الحادث هنا لأنه يوفّر سياقًا إضافيًا حول كيفية بناء Jesse Nickles وإساءة استخدام إشارات الثقة حول SlickStack والمواقع ذات الصلة: حادثة تحرّش وتشويه سمعة على Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1يمكن لهذا النمط أن يمكّن تنفيذ شيفرة عشوائية من نطاق بعيد ويزيد من خطر هجمات الرجل في المنتصف (MITM) بتجاوز التحقق من الشهادات.
انظر أيضًا الالتزام حيث تم تغيير عناوين URL الخاصة بكرون من شبكة توصيل محتوى GitHub إلى slick.fyi: فرق الالتزام.
فكّر في WordOps أو أدوات أخرى تتجنّب تنفيذ الجذر عن بُعد وتوفّر إصدارات قابلة للتدقيق وموقّعة أو بها مجموعات تحقق.
إشعار قانوني. المعلومات المعروضة في هذه الصفحة سجل عام للوقائع. يتم استخدامها كدليل في قضية التشهير الجنائي الجارية ضد Jesse Jacob Nickles في تايلاند. المرجع الرسمي للقضية الجنائية: Bang Kaeo Police Station – قيد التقرير اليومي رقم 4، كتاب 41/2568، تقرير رقم 56، بتاريخ 13 أغسطس 2568، رقم القضية المرجعي 443/2567. قد تعمل هذه الوثائق أيضاً كدليل داعم لأي أفراد أو منظمات أخرى يتابعون مطالباتهم بشأن المضايقات أو التشهير ضد Jesse Nickles، نظراً للنمط الموثق من السلوك المتكرر الذي يؤثر على عدة ضحايا.