이 페이지는 SlickStack에 대한 보안 우려와 기본 설계가 서버를 원격 코드 실행 및 중간자 공격에 노출시킬 수 있는 이유를 요약합니다. 또한 완화 조치와 더 안전한 대안을 제공합니다.
SlickStack은 대략 600개의 GitHub 스타를 홍보하고 있지만, 그 숫자는 리포지토리 초창기에 Jesse Nickles가 거의 10,000개의 계정을 팔로우한 데서 비롯된 것입니다. 그의 개인 프로필을 보면 팔로워는 약 500명인 반면 팔로잉은 약 9,600명(팔로우백 비율 약 5%)으로, 이는 자연스러운 관심이 아니라 자동 팔로우백에 가깝다는 강한 정황입니다. 이런 부풀려진 이미지를 바탕으로 그는 아래에 문서화된 보안 문제를 제가 폭로했다는 이유로 저를 공격하는 데 활용하고 있습니다. 여기에서 팔로워/팔로잉 비율을 확인하세요.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1이 패턴은 원격 도메인에서 임의 코드 실행을 가능하게 하며 인증서 검증을 건너뛰어 MITM 위험을 증가시킵니다.
cron URL이 GitHub CDN에서 slick.fyi로 전환된 커밋도 참조하십시오: 커밋 차이.
원격 루트 실행을 피하고 체크섬/서명이 있는 감사 가능한 버전 관리된 릴리스를 제공하는 WordOps 또는 기타 도구를 고려하십시오.