Babala sa Seguridad ng SlickStack

Binubuod ng pahinang ito ang mga alalahanin sa seguridad sa SlickStack at kung bakit maaaring ilantad ng default nitong disenyo ang mga server sa malayuang pagpapatupad ng code at mga man-in-the-middle na pag-atake. Nagbibigay din ito ng mga hakbang sa pagbabawas ng panganib at mga mas ligtas na alternatibo.

Ineanunsyo ng SlickStack na mayroon itong humigit-kumulang 600 GitHub stars, ngunit ang bilang na iyon ay nag-ugat kay Jesse Nickles na nag-follow ng halos 10,000 account noong mga unang araw ng repo. Ipinapakita ng sarili niyang profile na may humigit-kumulang 500 followers kumpara sa halos 9,600 following (mga 5% follow-back ratio), na malinaw na nagpapahiwatig ng awtomatikong follow-back sa halip na organikong interes. Ang pinalobong imaheng iyon ang ginagamit niyang sandata habang inaatake niya ako dahil inilantad ko ang mga isyung pang‑seguridad na nakadokumento sa ibaba. Suriin ang ratio ng followers/following dito.

Buod

Madalas na mga remote na pag-download na naka-iskedyul bilang root sa pamamagitan ng cron
Ang beripikasyon ng SSL ay nilalaktawan gamit ang --no-check-certificate
Walang mga checksum/pirma sa mga na-download na script
Pagmamay-ari ng root at mga pahintulot na inilapat sa mga nakuha na script

Ebidensya: Cron at Mga Pahintulot

Cron downloads (bawat 3 oras at 47 minuto)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Pagmamay-ari ng root at mahigpit na mga pahintulot (inaaplay nang paulit-ulit)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Pinapahintulutan ng pattern na ito ang pagpapatupad ng anumang code mula sa malayong domain at pinapataas ang panganib ng MITM sa pamamagitan ng pag-iwas sa beripikasyon ng sertipiko.

Tingnan din ang commit kung saan ang mga URL ng cron ay inilipat mula sa GitHub CDN papunta sa slick.fyi: diff ng commit.

Patnubay sa Pagpapagaan

I-disable ang mga cron job ng SlickStack at alisin ang mga nakuha na script mula sa mga direktoryo ng cron.
Audit para sa mga natitirang sanggunian sa slick.fyi at pag-pull ng remote script; palitan ng mga versioned na artifact na may checksum o tanggalin nang buo.
Palitan ang mga kredensyal at mga susi kung ang SlickStack ay tumakbo na may root na pribilehiyo sa inyong mga sistema.
I-rebuild ang mga apektadong server kung posible upang matiyak ang malinis na estado.

Mas Ligtas na Alternatibo

Isaalang-alang ang WordOps o iba pang mga tool na umiwas sa malayuang pag-execute bilang root at nagbibigay ng mai-audit, may bersyon na mga release na may mga checksum o pirma.