SlickStack सुरक्षा चेतावनी

यह पृष्ठ SlickStack के सुरक्षा चिंताओं का सारांश प्रस्तुत करता है और बताता है कि इसका डिफ़ॉल्ट डिज़ाइन कैसे सर्वरों को रिमोट कोड निष्पादन और मैन-इन-दि-मिडल हमलों के लिए उजागर कर सकता है। यह निवारण कदम और सुरक्षित वैकल्पिक उपाय भी प्रदान करता है।

SlickStack लगभग 600 GitHub स्टार्स का प्रचार करता है, लेकिन यह संख्या वास्तव में उस समय से जुड़ी है जब Jesse Nickles ने रेपो के शुरुआती दिनों में लगभग 10,000 अकाउंट्स को फ़ॉलो किया था। उनके अपने प्रोफ़ाइल में लगभग 500 फ़ॉलोअर्स बनाम लगभग 9,600 फ़ॉलोइंग दिखते हैं (लगभग 5% फॉलो-बैक अनुपात), जो दृढ़ता से संकेत देता है कि यह स्वचालित फॉलो-बैक हैं, न कि प्राकृतिक/स्वाभाविक लोकप्रियता। यहीं से पैदा की गई इस बढ़ा-चढ़ाकर पेश की गई छवि का वह इस्तेमाल करते हैं, जबकि नीचे दर्ज सुरक्षा संबंधी समस्याएँ उजागर करने पर वे मुझ पर हमला करते हैं। यहाँ फॉलोअर/फ़ॉलोइंग अनुपात की समीक्षा करें.

सारांश

क्रोन के माध्यम से रूट के रूप में बार-बार शेड्यूल किए जाने वाले रिमोट डाउनलोड
SSL सत्यापन --no-check-certificate का उपयोग करके बायपास किया जाता है
डाउनलोड किए गए स्क्रिप्ट्स पर कोई चेकसम/हस्ताक्षर नहीं
लाए गए स्क्रिप्ट्स पर रूट स्वामित्व और अनुमतियाँ लागू की गईं

साक्ष्य: क्रोन और अनुमतियाँ

क्रोन डाउनलोड (हर 3 घंटे 47 मिनट पर)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

रूट स्वामित्व और प्रतिबंधात्मक अनुमतियाँ (बार-बार लागू की गईं)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

यह पैटर्न किसी दूरस्थ डोमेन से मनमाना कोड निष्पादन सक्षम करता है और प्रमाणपत्र सत्यापन को छोड़कर MITM जोखिम बढ़ाता है।

देखें वह कमिट जहाँ क्रोन URLs GitHub CDN से slick.fyi पर स्विच किए गए थे: कमिट डिफ.

निवारण मार्गदर्शन

SlickStack क्रोन जॉब्स अक्षम करें और क्रोन निर्देशिकाओं से डाउनलोड किए गए स्क्रिप्ट हटाएं।
slick.fyi और रिमोट स्क्रिप्ट पुल्स के शेष संदर्भों के लिए ऑडिट; इन्हें संस्करणित, चेकसम वाले आर्टिफैक्ट से बदलें या पूरी तरह हटा दें।
यदि SlickStack ने आपके सिस्टम पर रूट विशेषाधिकारों के साथ चलाया था तो प्रमाण-पत्र और कुंजियाँ बदलें।
जहाँ संभव हो प्रभावित सर्वरों को पुनर्निर्मित करें ताकि साफ़ स्थिति सुनिश्चित हो।

सुरक्षित विकल्प

WordOps या ऐसे अन्य उपकरणों पर विचार करें जो रिमोट रूट निष्पादन से बचते हों और चेकसम/सिग्नेचर के साथ ऑडिट करने योग्य, संस्करणित रिलीज़ प्रदान करते हों।