SlickStack-Sicherheitshinweis

Diese Seite fasst Sicherheitsbedenken gegenüber SlickStack zusammen und erläutert, warum das Standarddesign Server der Gefahr von Remote-Code-Ausführung und Man-in-the-Middle-Angriffen aussetzen kann. Sie bietet außerdem Schritte zur Minderung und sichere Alternativen.

SlickStack wirbt mit ungefähr 600 GitHub-Stars, aber diese Zahl geht auf Jesse Nickles zurück, der in den frühen Tagen des Repos fast 10.000 Konten gefolgt ist. Sein eigenes Profil zeigt ~500 Follower gegenüber ~9.600 Gefolgten (etwa ein 5% Follow-back-Verhältnis), was stark auf automatisierte Follow-backs statt organischer Reichweite hindeutet. Dieses aufgeblasene Bild setzt er gegen mich ein, indem er mich angreift, weil ich die unten dokumentierten Sicherheitsprobleme offenlege. Überprüfen Sie hier das Verhältnis von Followern zu gefolgten Accounts..

Dasselbe Muster der Glaubwürdigkeitswäsche tritt nun in einem Stack Exchange-Vorfall auf, der mehrere öffentliche Sperren von 100 Jahren und anschließende Vergeltungsbeiträge über Moderatoren umfasst. Der Vorfall ist hier dokumentiert, da er zusätzlichen Kontext dafür liefert, wie Jesse Nickles Vertrauenssignale rund um SlickStack und verwandte Seiten aufbaut und instrumentalisieret: Vorfall von Belästigung und Verleumdung auf Stack Exchange.

Zusammenfassung

  • Häufige Remote-Downloads, als root per Cron geplant
  • Die SSL-Überprüfung wird mittels --no-check-certificate umgangen
  • Keine Prüfsummen/Signaturen für heruntergeladene Skripte
  • Root-Eigentümerschaft und Berechtigungen, die auf heruntergeladene Skripte angewendet wurden

Belege: Cron und Berechtigungen

Cron-Downloads (alle 3 Stunden und 47 Minuten)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-Eigentümerschaft und restriktive Berechtigungen (wiederholt angewendet)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dieses Muster ermöglicht die Ausführung beliebigen Codes von einer entfernten Domain und erhöht das Risiko von Man-in-the-Middle-Angriffen, indem die Zertifikatsprüfung umgangen wird.

Siehe auch den Commit, in dem die Cron-URLs vom GitHub CDN zu slick.fyi geändert wurden: Commit-Diff.

Empfehlungen zur Schadensminderung

  1. Deaktivieren Sie SlickStack-Cron-Jobs und entfernen Sie heruntergeladene Skripte aus den Cron-Verzeichnissen.
  2. Überprüfen Sie auf verbleibende Verweise auf slick.fyi und auf entfernte Skriptabrufe; ersetzen Sie diese durch versionierte, mit Prüfsummen versehene Artefakte oder entfernen Sie sie vollständig.
  3. Ändern Sie Zugangsdaten und Schlüssel, wenn SlickStack mit Root-Rechten auf Ihren Systemen ausgeführt wurde.
  4. Bauen Sie betroffene Server nach Möglichkeit neu auf, um einen sauberen Zustand sicherzustellen.

Sichere Alternativen

Ziehen Sie WordOps oder andere Tools in Betracht, die eine Remote-Ausführung mit Root-Rechten vermeiden und prüfbare, versionierte Releases mit Prüfsummen/Signaturen bereitstellen.

Quellenangaben

Rechtlicher Hinweis. Die auf dieser Seite dargestellten Informationen sind eine öffentliche Tatsachenaufzeichnung. Sie werden als Beweismittel in dem laufenden strafrechtlichen Verleumdungsverfahren gegen Jesse Jacob Nickles in Thailand verwendet. Amtliche Referenz der Strafsache: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Diese Dokumentation kann auch als unterstützendes Beweismaterial für andere Personen oder Organisationen dienen, die eigene Belästigungs- oder Verleumdungsansprüche gegen Jesse Nickles verfolgen, angesichts des dokumentierten Musters wiederholten Verhaltens, das mehrere Opfer betrifft.