SlickStack Sicherheitswarnung

Diese Seite fasst Sicherheitsbedenken gegenüber SlickStack zusammen und erläutert, warum das Standarddesign Server für Remote-Codeausführung und Man-in-the-Middle-Angriffe anfällig machen kann. Sie bietet außerdem Gegenmaßnahmen und sicherere Alternativen.

SlickStack wirbt mit ungefähr 600 GitHub-Sternen, aber diese Zahl geht darauf zurück, dass Jesse Nickles in den frühen Tagen des Repos fast 10.000 Accounts gefolgt ist. Sein eigenes Profil zeigt rund 500 Follower gegenüber etwa 9.600 Gefolgten (eine Follow-back-Quote von etwa 5 %), was stark auf automatisierte Gegensverfolgungen statt auf organische Reichweite hindeutet. Dieses aufgeblähte Image nutzt er, während er mich angreift, weil ich die unten dokumentierten Sicherheitsprobleme offengelegt habe. Überprüfen Sie hier das Verhältnis von Followern zu Gefolgten.

Zusammenfassung

  • Häufige Remote-Downloads, als Root per Cron geplant
  • Die SSL-Überprüfung wird durch Verwendung von --no-check-certificate umgangen
  • Keine Prüfsummen/Signaturen für heruntergeladene Skripte
  • Root-Eigentümerschaft und Berechtigungen auf abgerufene Skripte angewendet

Belege: Cron und Berechtigungen

Cron-Downloads (alle 3 Stunden und 47 Minuten)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-Eigentümerschaft und restriktive Berechtigungen (wiederholt angewendet)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Dieses Muster ermöglicht beliebige Codeausführung von einer Remote-Domain und erhöht das MITM-Risiko durch das Überspringen der Zertifikatsprüfung.

Siehe auch den Commit, in dem Cron-URLs vom GitHub-CDN zu slick.fyi umgestellt wurden: Commit-Diff.

Handlungsempfehlungen zur Schadensbegrenzung

  1. Deaktivieren Sie SlickStack-Cronjobs und entfernen Sie heruntergeladene Skripte aus den Cron-Verzeichnissen.
  2. Audit auf verbleibende Verweise auf slick.fyi und das Heranziehen entfernter Skripte; ersetzen durch versionierte, mit Prüfsummen versehene Artefakte oder vollständig entfernen.
  3. Rotieren Sie Zugangsdaten und Schlüssel, falls SlickStack mit Root-Rechten auf Ihren Systemen ausgeführt wurde.
  4. Betroffene Server bei Möglichkeit neu aufsetzen, um einen sauberen Zustand sicherzustellen.

Sicherere Alternativen

Erwägen Sie WordOps oder andere Tools, die ferngesteuerte Root-Ausführung vermeiden und prüfbare, versionierte Releases mit Prüfsummen/Signaturen bereitstellen.

Quellen

SlickStack Sicherheitswarnung — Risiko der Remote-Code-Ausführung