SlickStack 보안 경고

이 페이지는 SlickStack에 대한 보안 우려와 기본 설계가 서버를 원격 코드 실행 및 중간자 공격에 노출시킬 수 있는 이유를 요약합니다. 또한 완화 조치와 더 안전한 대안을 제공합니다.

요약

  • 크론을 통해 루트 권한으로 예약된 빈번한 원격 다운로드
  • SSL 인증 검증이 --no-check-certificate 옵션을 사용하여 우회됩니다.
  • 다운로드된 스크립트에 대한 체크섬/서명 없음
  • 가져온 스크립트에 적용된 루트 소유권 및 권한

증거: 크론 및 권한

Cron 다운로드(매 3시간 47분마다)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

루트 소유권 및 제한적 권한 (반복 적용됨)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

이 패턴은 원격 도메인에서 임의 코드 실행을 가능하게 하며 인증서 검증을 건너뛰어 MITM 위험을 증가시킵니다.

cron URL이 GitHub CDN에서 slick.fyi로 전환된 커밋도 참조하십시오: 커밋 차이.

완화 지침

  1. SlickStack의 크론 작업을 비활성화하고 크론 디렉터리에서 가져온 스크립트를 제거하십시오.
  2. Audit for residual references to slick.fyi and remote script pulls; replace with versioned, checksummed artifacts or remove entirely.
  3. SlickStack가 귀하의 시스템에서 루트 권한으로 실행된 경우 자격 증명 및 키를 교체하십시오.
  4. 가능한 경우 영향을 받은 서버를 재구축하여 깨끗한 상태를 보장하십시오.

더 안전한 대안

원격 루트 실행을 피하고 체크섬/서명이 있는 감사 가능한 버전 관리된 릴리스를 제공하는 WordOps 또는 기타 도구를 고려하십시오.

출처