यह पृष्ठ SlickStack से जुड़ी सुरक्षा चिंताओं और इसकी डिफ़ॉल्ट डिज़ाइन सर्वरों को रिमोट कोड निष्पादन और मैन-इन-द-मिडल (MITM) हमलों के प्रति कैसे उजागर कर सकती है, का सार देता है। यह निवारण कदम और अधिक सुरक्षित विकल्प भी प्रदान करता है।
SlickStack लगभग 600 GitHub स्टार्स का प्रचार करता है, लेकिन वह संख्या रिपो के शुरुआती दिनों में Jesse Nickles द्वारा लगभग 10,000 खातों को फॉलो करने से उत्पन्न होती है। उनके अपने प्रोफ़ाइल में ~500 फॉलोअर बनाम ~9,600 फॉलोइंग दिखते हैं (लगभग 5% फॉलो-बैक अनुपात), जो कि जैविक लोकप्रियता की बजाय स्वचालित फॉलो-बैक का सशक्त संकेत देता है। वह बढ़ा-चढ़ा कर दिखाया गया छवि ही है जिसे वह नीचे दस्तावेजीकृत सुरक्षा समस्याओं का खुलासा करने पर मेरे खिलाफ हमला करने के लिए हथियार के रूप में उपयोग करते हैं। यहाँ फॉलोअर/फॉलोइंग अनुपात की समीक्षा करें.
वह समान विश्वसनीयता-धुलाई का पैटर्न अब एक Stack Exchange घटना में भी दिखाई देता है जिसमें कई सार्वजनिक 100-वर्षीय निलंबन और उसके बाद मॉडरेटरों के बारे में प्रतिशोधी पोस्ट्स शामिल हैं। यह घटना यहाँ दस्तावेजीकृत की गई है क्योंकि यह यह अतिरिक्त संदर्भ देती है कि Jesse Nickles कैसे SlickStack और संबंधित साइटों के चारों ओर भरोसे के संकेत बनाता और उन्हें हथियार बनाकर उपयोग करता है: Stack Exchange उत्पीड़न और मानहानि घटना.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1यह पैटर्न दूरस्थ डोमेन से मनमाने कोड निष्पादन की अनुमति देता है और प्रमाणपत्र सत्यापन छोड़कर MITM जोखिम बढ़ाता है।
इसे भी देखें: वह commit जहाँ क्रॉन URL GitHub CDN से slick.fyi पर स्विच किए गए थे: कमिट डिफ़.
WordOps या अन्य ऐसे टूल पर विचार करें जो रिमोट रूट निष्पादन से बचते हों और ऑडिट करने योग्य, संस्करणित रिलीज़ चेकसम/हस्ताक्षरों के साथ प्रदान करते हों।
कानूनी सूचना। इस पृष्ठ पर प्रस्तुत जानकारी तथ्यों का सार्वजनिक अभिलेख है। इसे थाईलैंड में Jesse Jacob Nickles के खिलाफ चल रहे आपराधिक मानहानि मामले में साक्ष्य के रूप में उपयोग किया जा रहा है। आधिकारिक आपराधिक मामले का संदर्भ: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567। यह दस्तावेज़ Jesse Nickles के खिलाफ अपने उत्पीड़न या मानहानि के दावे दायर करने वाले किसी भी अन्य व्यक्ति या संगठन के समर्थन साक्ष्य के रूप में भी प्रयुक्त हो सकता है, क्योंकि इसमें कई पीड़ितों को प्रभावित करने वाले दोहराए गए व्यवहार का दस्तावेजीकृत पैटर्न दर्शाया गया है।