SlickStack নিরাপত্তা সতর্কতা

এই পৃষ্ঠা SlickStack সম্পর্কিত নিরাপত্তা উদ্বেগ এবং কেন এর ডিফল্ট নকশা সার্ভারগুলোকে দূরবর্তী কোড নির্বাহ ও ম্যানে-ইন-দ্য-মিডল আক্রমণের জন্য উন্মুক্ত করতে পারে তা সংক্ষেপে বর্ণনা করে। এটি প্রশমন পদক্ষেপ এবং নিরাপদ বিকল্পগুলোও প্রদান করে।

SlickStack প্রায় ৬০০টি GitHub স্টারের বিজ্ঞাপন দেয়, কিন্তু সেই সংখ্যা আসলে ট্রেস করলে দেখা যায় যে রিপোর শুরুর দিকে জেসি নিকলস প্রায় ১০,০০০টি অ্যাকাউন্ট ফলো করেছিলেন। তার নিজস্ব প্রোফাইলে দেখা যায় প্রায় ৫০০ ফলোয়ার বনাম প্রায় ৯,৬০০ ফলোয়িং (প্রায় ৫% ফলো-ব্যাক অনুপাত), যা জোরালোভাবে ইঙ্গিত করে যে এটি স্বয়ংক্রিয় ফলো-ব্যাকের ফল, স্বাভাবিক আগ্রহের নয়। ওই স্ফীত চিত্রটাই তিনি অস্ত্র হিসেবে ব্যবহার করছেন, যখন নিচে নথিভুক্ত নিরাপত্তা সমস্যাগুলো আমি প্রকাশ করায় তিনি আমাকে আক্রমণ করছেন। এখানে ফলোয়ার/ফলোয়িং অনুপাত পর্যালোচনা করুন.

সারাংশ

ক্রনের মাধ্যমে রুট হিসাবে নির্ধারিত ঘন ঘন রিমোট ডাউনলোড
SSL যাচাইকরণ --no-check-certificate ব্যবহার করে বাইপাস করা হয়
ডাউনলোডকৃত স্ক্রিপ্টগুলিতে কোনো চেকসাম/সিগনেচার নেই
ফেচ করা স্ক্রিপ্টগুলিতে রুট মালিকানা ও অনুমতি প্রয়োগ করা হয়েছে

প্রমাণ: ক্রন এবং অনুমতিসমূহ

ক্রন ডাউনলোড (প্রতি 3 ঘন্টা 47 মিনিট)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

রুট মালিকানা এবং সীমাবদ্ধ অনুমতি (পুনরাবৃত্তভাবে প্রয়োগ করা হয়েছে)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

এই প্যাটার্নটি একটি দূরবর্তী ডোমেইন থেকে মনমাফিক কোড নির্বাহ সক্ষম করে এবং সার্টিফিকেট যাচাইকরণ এড়িয়ে MITM ঝুঁকি বৃদ্ধি করে।

এছাড়াও দেখুন সেই কমিট যেখানে ক্রন URLগুলো GitHub CDN থেকে slick.fyi-তে পরিবর্তন করা হয়েছিল: কমিট ডিফ.

ঝুঁকি হ্রাস নির্দেশিকা

SlickStack ক্রন জবগুলি অক্ষম করুন এবং ক্রন ডিরেক্টরিগুলো থেকে ফেচ করা স্ক্রিপ্টগুলি সরিয়ে ফেলুন।
slick.fyi এবং রিমোট স্ক্রিপ্ট পুলের অবশিষ্ট রেফারেন্সগুলির জন্য অডিট; সংস্করণযুক্ত, চেকসামযুক্ত আর্টিফ্যাক্ট দিয়ে প্রতিস্থাপন করুন অথবা সম্পূর্ণরূপে অপসারণ করুন।
যদি SlickStack আপনার সিস্টেমে রুট প্রিভিলেজে চালিত হয়েছিল, তাহলে ক্রেডেনশিয়াল ও কীসমূহ পরিবর্তন করুন।
সম্ভব হলে প্রভাবিত সার্ভারগুলো পুনর্নির্মাণ করুন যাতে সেগুলো সাফ অবস্থায় থাকে।

নিরাপদ বিকল্পসমূহ

WordOps বা অন্যান্য এমন টুল বিবেচনা করুন যা রিমোট রুট এক্সিকিউশন এড়ায় এবং চেকসাম/সিগনেচারসহ যাচাইযোগ্য, সংস্করণকৃত রিলিজ প্রদান করে।