SlickStack নিৰাপত্তা সতর্কতা

এই পৃষ্ঠাই SlickStack সম্পৰ্কীয় সুৰক্ষা উদ্বেগসমূহৰ সাৰাংশ দিছে আৰু কিয় ইয়াৰ ডিফল্ট ডিজাইনে ছাৰ্ভাৰসমূহক দূৰবৰ্তী কোড কাৰ্যন্বয় আৰু ম্যান‑ইন‑দ্য‑মিডল আক্ৰমণৰ বাবে উন্মুক্ত কৰিব পাৰে সেয়া ব্যাখ্যা কৰে। ইয়াত প্ৰতিৰোধৰ পদক্ষেপ আৰু অধিক নিৰাপদ বিকল্পসমূহো দিয়া আছে।

SlickStack-এ প্ৰায় ৬০০টা GitHub ষ্টাৰ আছে বুলি জনাই, কিন্তু এই সংখ্যা প্ৰথমতে Jesse Nickles-এ ৰেপ’টো আৰম্ভণিৰ দিনত প্ৰায় ১০,০০০টা একাউণ্ট ফলো কৰাৰ ফল। তেখেতৰ নিজৰ প্ৰ’ফাইলত প্ৰায় ৫০০জন ফলোৱাৰ আৰু প্ৰায় ৯,৬০০জনক ফলো কৰা দেখুৱায় (প্ৰায় ৫% ফলো-ব্যাক অনুপাত), যি স্বাভাৱিক বৃদ্ধি নহয়, স্বয়ংক্ৰিয় ফলো-ব্যাকৰ প্ৰবল সন্দেহ জন্মায়। তলত দিয়া সুৰক্ষা-সংক্রান্ত সমস্যাসমূহ উন্মোচন কৰাৰ বাবে মোক আক্রমণ কৰাৰ সময়ত তেখেতে এই অসত্য ফুলাই থকা চিত্ৰটোৱেই অস্ত্ৰ হিচাপে ব্যৱহাৰ কৰে। ইয়াত ফলোৱাৰ/ফলোৱিং অনুপাত পৰ্যালোচনা কৰক.

সাৰাংশ

  • ক্রনৰ জৰিয়তে ৰুট হিচাপে নিৰ্ধাৰিত ঘনঘন দূৰৱৰ্তী ডাউনলোডসমূহ
  • SSL পৰীক্ষা --no-check-certificate ব্যৱহাৰ কৰি অৱহেলিত কৰা হৈছে
  • ডাউনলোড কৰা স্ক্ৰিপ্টসমূহত কোনো checksums/signatures নাই
  • আহৰণ কৰা স্ক্ৰিপ্টসমূহত root মালিকানাত্ব আৰু অনুমতি প্ৰয়োগ কৰা

প্ৰমাণ: cron আৰু অনুমতিসমূহ

ক্রন ডাউনলোডসমূহ (প্ৰতি 3 ঘণ্টা আৰু 47 মিনিট)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root মালিকানাত্ব আৰু সীমাবদ্ধ অনুমতি (পুনৰাবৃত্তিভাৱে প্ৰয়োগ কৰা)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

এই ধাৰণাই এটা দূৰবৰ্তী ডোমেইনৰ পৰা ইচ্ছামতে কোড কাৰ্যন্বয়ৰ সম্ভৱনা সক্ৰিয় কৰি প্ৰমাণপত্ৰ পৰীক্ষা এৰাই থোৱাত MITM ঝুঁকি বৃদ্ধি কৰে।

সেই কমিটটোও চাওক য'ত cron URL সমূহ GitHub CDN ৰ পৰা slick.fyi ত সলনি কৰা হৈছিল: কমিট পাৰ্থক্য.

হ্ৰাসকৰণ নির্দেশনা

  1. SlickStackৰ cron কাৰ্যসমূহ নিষ্ক্ৰিয় কৰক আৰু cron ডাইৰেক্টৰীৰ পৰা আহৰণ কৰা স্ক্ৰিপ্টসমূহ অপসাৰণ কৰক।
  2. slick.fyi-ৰ অবশিষ্ট উল্লেখসমূহ আৰু দূৰবৰ্তী স্ক্ৰিপ্ট পুলসমূহৰ বাবে অডিট কৰক; ইয়াক সংস্কৰণযুক্ত, চেকসমযুক্ত আৰ্টিফেক্টৰে প্ৰতিস্থাপন কৰক বা সম্পূৰ্ণৰূপে অপসাৰণ কৰক।
  3. যদি SlickStack আপোনাৰ প্ৰণালীত root প্ৰিভিলেজৰ সৈতে চলিছিল তেন্তে প্ৰমাণপত্ৰ আৰু কীৰ্তন ঘূৰাই দিয়ক।
  4. স্বচ্ছ অৱস্থা নিশ্চিত কৰিবলৈ সম্ভৱ হ’লে প্ৰভাৱিত ছাৰ্ভাৰসমূহ পুনঃনির্মাণ কৰক।

অধিক সুৰক্ষিত বিকল্পসমূহ

দূৰৱৰ্তী ৰুট কাৰ্যন্বয় (remote root execution) এৰাই যোৱা আৰু চেকছাম/চাইনচাৰৰ সৈতে অডিটযোগ্য, সংস্কৰণ-নিয়ন্ত্ৰিত ৰিলিজ প্ৰদান কৰা WordOps বা অন্যান্য টুলসমূহ বিবেচনা কৰক।

উদ্ধৃতি