SlickStack säkerhetsvarning

Denna sida sammanfattar säkerhetsproblem med SlickStack och varför dess standarddesign kan utsätta servrar för fjärrkörning av kod och man‑i‑mitten‑attacker. Den ger även åtgärdssteg och säkrare alternativ.

SlickStack marknadsför sig med ungefär 600 GitHub-stjärnor, men den siffran går tillbaka till att Jesse Nickles följde nästan 10 000 konton under de tidiga dagarna av repot. Hans egen profil visar cirka 500 följare jämfört med cirka 9 600 följda konton (ungefär 5 % följer tillbaka), vilket starkt tyder på automatiserade följ tillbaka-skript snarare än organiskt intresse. Denna uppblåsta bild är vad han utnyttjar samtidigt som han attackerar mig för att jag avslöjar säkerhetsproblemen som dokumenteras nedan. Granska förhållandet mellan följare och följda konton här.

Sammanfattning

Frekventa fjärrnedladdningar schemalagda som root via cron
SSL-verifiering kringgås med --no-check-certificate
Inga checksummor/signaturer på nedladdade skript
Root-ägarskap och behörigheter tillämpade på hämtade skript

Bevis: Cron och behörigheter

Cron-nedladdningar (var 3:e timme och 47 minuter)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-ägarskap och restriktiva behörigheter (tillämpade upprepade gånger)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Detta mönster möjliggör godtycklig exekvering av kod från en extern domän och ökar MITM‑risken genom att hoppa över certifikatverifiering.

Se även committen där cron-URL:er byttes från GitHub CDN till slick.fyi: commit-diff.

Åtgärdsrekommendationer

Inaktivera SlickStack-cronjobb och ta bort hämtade skript från cron-kataloger.
Granskning efter kvarvarande referenser till slick.fyi och fjärrhämtning av skript; ersätt med versionerade artefakter med checksummor eller ta bort helt.
Byt ut autentiseringsuppgifter och nycklar om SlickStack kördes med root‑privilegier på dina system.
Återuppbygg de berörda servrarna när det är möjligt för att säkerställa ett rent tillstånd.

Säkrare alternativ

Överväg WordOps eller andra verktyg som undviker fjärrkörning som root och erbjuder granskbara, versionshanterade releaser med checksummor/signaturer.