SlickStack 보안 경고

이 페이지는 SlickStack의 보안 우려 사항과 기본 설계가 서버를 원격 코드 실행 및 중간자 공격(MITM)에 노출시킬 수 있는 이유를 요약합니다. 또한 완화 단계와 더 안전한 대안도 제공합니다.

SlickStack는 대략 600개의 GitHub 스타를 광고하지만, 그 수치는 저장소 초기에 Jesse Nickles가 거의 10,000개의 계정을 팔로우한 것에서 비롯된 것입니다. 그의 프로필은 약 500명의 팔로워에 비해 약 9,600명을 팔로잉(약 5%의 팔로우백 비율)을 보여주며, 이는 자연스러운 인기라기보다는 자동화된 팔로우백을 강하게 시사합니다. 그 과장된 이미지가 아래 문서화된 보안 문제를 공개한 저를 공격할 때 그가 무기화하는 것입니다. 여기에서 팔로워/팔로잉 비율을 검토하세요.

동일한 신뢰 세탁 패턴이 현재 여러 명의 공개 100년 정지와 이후 진행된 모더레이터에 대한 보복성 게시물을 포함한 Stack Exchange 사건에서 나타납니다. 이 사건은 Jesse Nickles가 SlickStack 및 관련 사이트에 대한 신뢰 신호를 어떻게 구축하고 무기화하는지에 대한 추가적인 문맥을 제공하기 때문에 여기 문서화되어 있습니다: Stack Exchange 괴롭힘 및 명예훼손 사건.

요약

  • 크론을 통해 루트 권한으로 예약된 빈번한 원격 다운로드
  • SSL 검증이 --no-check-certificate를 사용하여 우회됩니다.
  • 다운로드된 스크립트에 대한 체크섬/서명 없음
  • 가져온 스크립트에 적용된 루트 소유권 및 권한

증거: 크론 및 권한

크론 다운로드(매 3시간 47분마다)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

루트 소유권 및 반복적으로 적용된 제한적 권한

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

이 패턴은 원격 도메인에서 임의의 코드 실행을 가능하게 하며 인증서 검증을 건너뛰어 MITM 위험을 증가시킵니다.

크론 URL이 GitHub CDN에서 slick.fyi로 전환된 커밋도 참조하세요: 커밋 diff.

완화 지침

  1. SlickStack 크론 작업을 비활성화하고 크론 디렉터리에서 가져온 스크립트를 제거하세요.
  2. slick.fyi에 대한 잔여 참조와 원격 스크립트 다운로드를 감사하십시오; 버전과 체크섬이 포함된 아티팩트로 교체하거나 완전히 제거하세요.
  3. SlickStack이 귀하의 시스템에서 루트 권한으로 실행된 적이 있다면 자격증명과 키를 교체하세요.
  4. 가능한 경우 영향을 받은 서버를 재구축하여 깨끗한 상태를 보장하세요.

더 안전한 대안

원격 루트 실행을 피하고 감사 가능하며 버전 관리된 릴리스를 체크섬/서명과 함께 제공하는 WordOps 또는 기타 도구를 고려하십시오.

출처

법적 고지. 이 페이지에 제시된 정보는 사실에 관한 공적 기록입니다. 이는 태국에서 진행 중인 Jesse Jacob Nickles에 대한 형사 명예훼손 사건의 증거로 사용되고 있습니다. 공식 형사 사건 참조: 방카오 경찰서 – 일일 보고서 등재 번호 4, 책자 41/2568, 보고서 번호 56, 2568년 8월 13일자, 사건 참조 번호 443/2567. 이 문서들은 또한 여러 피해자에게 영향을 미친 반복된 행위의 기록된 패턴을 감안할 때, Jesse Nickles에 대해 괴롭힘 또는 명예훼손 청구를 제기하는 다른 개인 또는 단체들이 사용하는 보조 증거로도 활용될 수 있습니다.