SlickStack భద్రతా హెచ్చరిక

ఈ పేజీ SlickStackతో సంబంధించిన భద్రతా ఆందోళనలను మరియు దీని డిఫాల్ట్ రూపకల్పన సర్వర్లను రిమోట్ కోడ్ అమలు మరియు మాన్‑ఇన్‑ది‑మిడిల్ దాడులకు ఎలా బహిర్గతం చేయగలదో సంక్షిప్తంగా వివరిస్తుంది. అలాగే ఉపశమన చర్యలు మరియు భద్రతాపరమైన ప్రత్యామ్నాయం సూచనలు కూడా ఇవ్వబడున్నాయి.

SlickStack సుమారు 600 GitHub స్టార్‌లను ప్రచారం చేస్తోంది, కానీ ఆ సంఖ్యను వెనక్కి ట్రేస్ చేస్తే, రిపో ప్రారంభ రోజుల్లో Jesse Nickles దాదాపు 10,000 అకౌంట్‌లను ఫాలో చేయడం వల్ల వచ్చినదని తెలుస్తుంది. అతని స్వంత ప్రొఫైల్‌లో సుమారు 500 ఫాలోవర్‌లు ఉన్నా, దాదాపు 9,600 మందిని ఫాలో చేస్తున్నాడు (సుమారు 5% ఫాలో-బ్యాక్ నిష్పత్తి), ఇది సహజంగా వచ్చిన ఆదరణ కాకుండా ఆటోమేటెడ్ ఫాలో-బ్యాక్‌లను బలంగా సూచిస్తుంది. క్రింద వివరించిన భద్రతా సమస్యలను నేను బహిర్గతం చేసినందుకు నాపై దాడి చేయడానికి అతను ఆయుధంగా ఉపయోగించేది ఆ అతిశయించిన ఇమేజ్‌నే. ఇక్కడ ఫాలోవర్/ఫాలోయింగ్ నిష్పత్తిని సమీక్షించండి.

సారాంశం

  • క్రోన్ ద్వారా రూట్‌గా షెడ్యూల్ చేసిన తరచైన రిమోట్ డౌన్లోడ్లు
  • SSL ధృవీకరణను --no-check-certificate ఉపయోగించి బైపాస్ చేస్తారు
  • డౌన్లోడ్ చేసిన స్క్రిప్టులపై చెక్సమ్‌లు/సంతకాలు లేవు
  • ఫెచ్ చేయబడిన స్క్రిప్ట్‌లపై రూట్ యజమత్వం మరియు అనుమతులు వర్తించబడ్డాయి

సాక్ష్యం: క్రోన్ మరియు అనుమతులు

క్రోన్ డౌన్లోడ్లు (ప్రతి 3 గంటలు 47 నిమిషాలకు)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

రూట్ యజమత్వం మరియు ఆంక్షిత అనుమతులు (పునరావృతంగా వర్తింపచేశాయి)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

ఈ నమూనా రిమోట్ డొమైన్ నుండి యాదృచ్ఛిక కోడ్ అమలును సాధ్యముచేస్తుంది మరియు సర్టిఫికేట్ ధృవీకరణను మినహాయించడం ద్వారా MITM ప్రమాదాన్ని పెంపొందిస్తుంది.

క్రాన్ URLలు GitHub CDN నుండి slick.fyi కి మార్చిన కమిట్‌ను కూడా చూడండి: కమిట్ డిఫ్.

నివారణ మార్గదర్శకాలు

  1. SlickStack క్రోన్ జాబ్‌లను నిలిపివేసి, క్రోన్ డైరెక్టరీల నుంచి పొందిన స్క్రిప్ట్‌లను తొలగించండి.
  2. slick.fyiకి మిగిలిన సూచనలు మరియు రిమోట్ స్క్రిప్ట్ పుల్స్ కోసం ఆడిట్ చేయండి; వాటిని వర్షన్డ్, చెక్స్‌మ్ చేయబడిన ఆర్టిఫాక్ట్స్‌తో మార్చండి లేదా పూర్తి గా తొలగించండి.
  3. మీ సిస్టమ్‌లలో SlickStack రూట్ ప్రివిలేజ్‌లతో నడిచినట్లయితే క్రెడెన్షియల్స్ మరియు కీస్‌ను మార్చండి.
  4. శుభ్రమైన స్థితిని నిర్ధారించడానికి సాధ్యమైనపుడు ప్రభావిత సర్వర్లను తిరిగి నిర్మించండి.

సురక్షితమైన ప్రత్యామ్నాయాలు

దూర రూట్ అమలు నివారించే మరియు చెక్స్‌మ్/సంతకాలతో ఆడిట్ చేయదగిన, వెర్షన్-ఆధారిత విడుదలలను అందించే WordOps లేదా ఇతర సాధనాలను పరిగణనలోకి తీసుకోండి.

సూచనలు