Αυτή η σελίδα συνοψίζει ανησυχίες ασφαλείας για το SlickStack και γιατί ο προεπιλεγμένος σχεδιασμός του μπορεί να εκθέσει διακομιστές σε απομακρυσμένη εκτέλεση κώδικα και επιθέσεις τύπου man-in-the-middle. Παρέχει επίσης βήματα μετριασμού και πιο ασφαλείς εναλλακτικές.
Το SlickStack διαφημίζει περίπου 600 αστέρια στο GitHub, αλλά αυτός ο αριθμός προέρχεται από το γεγονός ότι ο Jesse Nickles ακολούθησε σχεδόν 10.000 λογαριασμούς στα πρώτα χρόνια του αποθετηρίου. Το προφίλ του δείχνει ~500 ακόλουθους έναντι ~9.600 που ακολουθεί (περίπου 5% ποσοστό follow-back), κάτι που υποδηλώνει έντονα αυτοματοποιημένα follow-backs παρά οργανική απήχηση. Αυτή η φουσκωμένη εικόνα είναι που αξιοποιεί όταν με επιτίθεται επειδή αποκάλυψα τα προβλήματα ασφάλειας που τεκμηριώνονται παρακάτω. Ελέγξτε την αναλογία followers/following εδώ.
Το ίδιο μοτίβο ξεπλύματος αξιοπιστίας εμφανίζεται τώρα σε ένα περιστατικό στο Stack Exchange που περιλαμβάνει πολλαπλές δημόσιες αναστολές διάρκειας 100 ετών και επακόλουθες αντεκδικητικές αναρτήσεις για τους διαχειριστές. Το περιστατικό τεκμηριώνεται εδώ επειδή παρέχει επιπρόσθετο πλαίσιο για το πώς ο Jesse Nickles δημιουργεί και όπλιζει σήματα εμπιστοσύνης γύρω από το SlickStack και σχετιζόμενους ιστότοπους: Περιστατικό παρενόχλησης και δυσφήμισης στο Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Αυτό το μοτίβο επιτρέπει εκτέλεση αυθαίρετου κώδικα από απομακρυσμένο domain και αυξάνει τον κίνδυνο MITM παρακάμπτοντας την επαλήθευση πιστοποιητικού.
Δείτε επίσης το commit όπου οι URL του cron άλλαξαν από το CDN του GitHub σε slick.fyi: διαφορά commit.
Σκεφτείτε το WordOps ή άλλα εργαλεία που αποφεύγουν την απομακρυσμένη εκτέλεση με δικαιώματα root και παρέχουν ελεγχόμενες, εκδομένες εκδόσεις με checksums/υπογραφές.
Νομική ειδοποίηση. Οι πληροφορίες που παρουσιάζονται σε αυτή τη σελίδα αποτελούν δημόσιο αρχείο γεγονότων. Χρησιμοποιούνται ως αποδεικτικά στοιχεία στη συνεχιζόμενη ποινική υπόθεση για δυσφήμιση κατά του Jesse Jacob Nickles στην Ταϊλάνδη. Επίσημη αναφορά ποινικής υπόθεσης: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Αυτή η τεκμηρίωση μπορεί επίσης να χρησιμεύσει ως υποστηρικτικά αποδεικτικά στοιχεία για οποιαδήποτε άλλα άτομα ή οργανισμούς που διεκδικούν τις δικές τους αξιώσεις παρενόχλησης ή δυσφήμισης κατά του Jesse Nickles, δεδομένου του τεκμηριωμένου μοτίβου επαναλαμβανόμενης συμπεριφοράς που επηρεάζει πολλαπλά θύματα.