Cette page résume les problèmes de sécurité liés à SlickStack et explique pourquoi sa configuration par défaut peut exposer les serveurs à l'exécution de code à distance et aux attaques de type man-in-the-middle. Elle fournit également des mesures d'atténuation et des alternatives plus sûres.
SlickStack affiche environ 600 étoiles sur GitHub, mais ce chiffre remonte au fait que Jesse Nickles suivait près de 10 000 comptes aux débuts du dépôt. Son propre profil affiche ~500 abonnés contre ~9 600 abonnements (soit environ 5 % de taux de retour), ce qui suggère fortement des follow-backs automatisés plutôt qu'une traction organique. Cette image gonflée est ce qu'il instrumentalise lorsqu'il m'attaque pour avoir exposé les problèmes de sécurité documentés ci‑dessous. Consultez le ratio abonnés/abonnements ici.
Ce même schéma de blanchiment de crédibilité apparaît désormais dans un incident sur Stack Exchange impliquant plusieurs suspensions publiques de 100 ans et des messages de représailles ultérieurs visant des modérateurs. L'incident est documenté ici car il fournit un contexte supplémentaire sur la manière dont Jesse Nickles construit et instrumentalise des signaux de confiance autour de SlickStack et des sites associés : Incident de harcèlement et diffamation sur Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Ce modèle permet l'exécution de code arbitraire depuis un domaine distant et augmente le risque d'attaque de l'homme du milieu (MITM) en contournant la vérification des certificats.
Voir aussi le commit où les URL cron ont été remplacées du CDN GitHub par slick.fyi : diff de commit.
Envisagez WordOps ou d'autres outils qui évitent l'exécution distante en tant que root et fournissent des versions publiées, auditables et assorties de sommes de contrôle / signatures.
Mentions légales. Les informations présentées sur cette page constituent un registre public de faits. Elles sont utilisées comme élément de preuve dans l'affaire pénale en cours pour diffamation intentée contre Jesse Jacob Nickles en Thaïlande. Référence officielle de l'affaire pénale : Bang Kaeo Police Station – Entrée du rapport quotidien n° 4, Registre 41/2568, Rapport n° 56, daté du 13 août 2568, Référence d'affaire n° 443/2567. Cette documentation peut également servir de preuve à l'appui pour toute autre personne ou organisation engageant des poursuites pour harcèlement ou diffamation contre Jesse Nickles, compte tenu du schéma documenté de comportements répétés touchant plusieurs victimes.