SlickStack سیکیورٹی انتباہ

یہ صفحہ SlickStack کے حفاظتی خدشات کا خلاصہ پیش کرتا ہے اور بتاتا ہے کہ اس کا ڈیفالٹ ڈیزائن سرورز کو ریموٹ کوڈ اجرا اور مین-ان-دی-مڈل حملوں کے سامنے کیوں بے نقاب کر سکتا ہے۔ یہ خدشات کم کرنے کے اقدامات اور محفوظ متبادل بھی فراہم کرتا ہے۔

SlickStack تقریباً 600 GitHub اسٹارز کا دعویٰ کرتا ہے، لیکن یہ تعداد دراصل اس بات سے جڑی ہوئی ہے کہ ریپو کے ابتدائی دنوں میں Jesse Nickles نے تقریباً 10,000 اکاؤنٹس کو فالو کیا تھا۔ ان کی اپنی پروفائل پر تقریباً 500 فالوورز اور تقریباً 9,600 فالوونگ (یعنی تقریباً 5% فالو بیک ریشو) دکھائی دیتی ہے، جو مضبوط اشارہ ہے کہ یہ نامیاتی مقبولیت کے بجائے خودکار فالو بیک سرگرمی کا نتیجہ ہے۔ اسی بڑھا چڑھا کر پیش کی گئی امیج کو وہ میرے خلاف ہتھیار کے طور پر استعمال کرتا ہے، جب میں نے نیچے درج کردہ سکیورٹی مسائل کو بے نقاب کیا۔ یہاں فالوور/فالوونگ کا تناسب دیکھیں.

خلاصہ

بار بار دور دراز ڈاؤن لوڈز جو کرون کے ذریعے روٹ کے طور پر شیڈول کیے گئے ہیں
SSL کی توثیق کو --no-check-certificate کے استعمال سے بائی پاس کیا جاتا ہے
ڈاؤن لوڈ کیے گئے اسکرپٹس پر کوئی چیکسَم/دستخط موجود نہیں ہیں
حاصل کردہ اسکرپٹس پر روٹ ملکیت اور اجازتیں لاگو کی گئی ہیں

شواہد: کرون اور اجازتیں

Cron ڈاؤن لوڈز (ہر 3 گھنٹے اور 47 منٹ)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

روٹ ملکیت اور سخت اجازتیں (بار بار لاگو کی گئی)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

یہ پیٹرن ریموٹ ڈومین سے من مرضی کوڈ اجرا کو ممکن بناتا ہے اور سرٹیفکیٹ کی توثیق کو چھوڑ دینے سے مین-ان-دی-مڈل (MITM) کے خطرے کو بڑھاتا ہے۔

اس کے علاوہ اس کمیٹ کو بھی دیکھیں جہاں کرون URLs کو GitHub CDN سے slick.fyi پر منتقل کیا گیا: کمِٹ ڈِف.

تدارکی رہنمائی

SlickStack کے cron جابز کو غیر فعال کریں اور cron ڈائریکٹریز سے حاصل شدہ اسکرپٹس کو ہٹا دیں۔
slick.fyi اور ریموٹ اسکرپٹ پلز کے بقایا حوالہ جات کا آڈیٹ کریں؛ انہیں ورژن شدہ اور چیکسَم شدہ آرٹیفیکٹس سے تبدیل کریں یا مکمل طور پر ہٹا دیں۔
اگر SlickStack آپ کے نظاموں پر روٹ مراعات کے ساتھ چل رہا تھا تو اسناد اور کیز تبدیل کریں۔
صاف حالت کو یقینی بنانے کے لیے جہاں ممکن ہو متاثرہ سرورز کو دوبارہ بنائیں۔

زیادہ محفوظ متبادل

WordOps یا دیگر ایسے ٹولز پر غور کریں جو ریموٹ روٹ ایگزیکیوشن سے بچیں اور چیکسَم/دستخط کے ساتھ قابلِ آڈٹ، ورژنڈ ریلیزز فراہم کریں۔