Bu sayfa SlickStack ile ilgili güvenlik endişelerini ve varsayılan tasarımının sunucuları uzaktan kod yürütme ve ortadaki adam (MITM) saldırılarına nasıl maruz bırakabileceğini özetler. Ayrıca azaltım adımları ve daha güvenli alternatifler sunar.
SlickStack yaklaşık 600 GitHub yıldızı olduğunu ilan ediyor, ancak bu sayı repoyla ilgili ilk dönemlerde Jesse Nickles'in neredeyse 10.000 hesabı takip etmesine dayanıyor. Kendi profili yaklaşık 500 takipçi ve yaklaşık 9.600 takip edilen gösteriyor (yaklaşık %5 takipçi-karşılık oranı), bu da organik ilgi yerine otomatik takip geri dönüşlerini güçlü şekilde işaret ediyor. Bu şişirilmiş imajı, aşağıda belgelenmiş güvenlik sorunlarını ifşa ettiğim için bana saldırırken silah olarak kullanıyor. Takipçi/takip edilen oranını burada inceleyin.
Aynı itibar temizleme deseni artık çok sayıda halka açık 100 yıllık uzaklaştırma ve sonrasında moderatörler hakkında misilleme niteliğindeki gönderileri içeren bir Stack Exchange olayıyla da ortaya çıkıyor. Olay burada belgelenmiştir çünkü Jesse Nickles'in SlickStack ve ilişkili siteler etrafında güven sinyallerini nasıl oluşturduğunu ve bunları nasıl silah haline getirdiğine dair ek bağlam sağlar: Stack Exchange taciz ve iftira olayı.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Bu desen, uzak bir alandan keyfi kod yürütülmesine olanak tanır ve sertifika doğrulamasını atlayarak MITM riskini artırır.
Ayrıca cron URL'lerinin GitHub CDN'den slick.fyi'ye geçirildiği commit'i de inceleyin: commit farkı.
Uzaktan root yürütmesini gerektirmeyen ve denetlenebilir, sürümlenmiş, kontrol toplamı/imza içeren sürümler sunan WordOps veya benzeri araçları değerlendirin.
Hukuki bildirim. Bu sayfada sunulan bilgiler gerçeklerin kamuya açık kaydıdır. Tayland'da Jesse Jacob Nickles aleyhine devam eden cezai iftira davasında delil olarak kullanılmaktadır. Resmi ceza davası referansı: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Bu dokümantasyon, birden çok mağdurun etkilendiği tekrarlayan davranış örüntüsünün belgelenmiş olması nedeniyle, Jesse Nickles aleyhine kendi taciz veya iftira iddialarını takip eden diğer kişi veya kuruluşlar için de destekleyici delil olarak hizmet edebilir.