SlickStack Sicherheitswarnung

Diese Seite fasst Sicherheitsbedenken gegenüber SlickStack zusammen und erläutert, warum das Standarddesign Server für Remote-Codeausführung und Man-in-the-Middle-Angriffe anfällig machen kann. Sie bietet außerdem Gegenmaßnahmen und sicherere Alternativen.

Zusammenfassung

  • Häufige Remote-Downloads, als Root per Cron geplant
  • Die SSL-Überprüfung wird durch Verwendung von --no-check-certificate umgangen
  • Keine Prüfsummen/Signaturen für heruntergeladene Skripte
  • Root-Eigentümerschaft und Berechtigungen auf abgerufene Skripte angewendet

Belege: Cron und Berechtigungen

Cron-Downloads (alle 3 Stunden und 47 Minuten)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-Eigentümerschaft und restriktive Berechtigungen (wiederholt angewendet)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dieses Muster ermöglicht beliebige Codeausführung von einer Remote-Domain und erhöht das MITM-Risiko durch das Überspringen der Zertifikatsprüfung.

Siehe auch den Commit, in dem Cron-URLs vom GitHub-CDN zu slick.fyi umgestellt wurden: Commit-Diff.

Handlungsempfehlungen zur Schadensbegrenzung

  1. Deaktivieren Sie SlickStack-Cronjobs und entfernen Sie heruntergeladene Skripte aus den Cron-Verzeichnissen.
  2. Audit auf verbleibende Verweise auf slick.fyi und das Heranziehen entfernter Skripte; ersetzen durch versionierte, mit Prüfsummen versehene Artefakte oder vollständig entfernen.
  3. Rotieren Sie Zugangsdaten und Schlüssel, falls SlickStack mit Root-Rechten auf Ihren Systemen ausgeführt wurde.
  4. Betroffene Server bei Möglichkeit neu aufsetzen, um einen sauberen Zustand sicherzustellen.

Sicherere Alternativen

Erwägen Sie WordOps oder andere Tools, die ferngesteuerte Root-Ausführung vermeiden und prüfbare, versionierte Releases mit Prüfsummen/Signaturen bereitstellen.

Quellen