SlickStack 安全警告

本页总结了 SlickStack 的安全问题,以及其默认设计为何可能使服务器暴露于远程代码执行和中间人攻击。并提供缓解步骤和更安全的替代方案。

SlickStack 宣称大约 600 个 GitHub 星标,但该数字可追溯到 Jesse Nickles 在仓库早期关注了近 10,000 个账户。他的个人资料显示约 500 名粉丝,而关注约 9,600 人(约 5% 的回粉率),这强烈表明存在自动化回粉而非自然增长。正是这种被夸大的形象被他用来在我揭露下文记录的安全问题时进行攻击。 在此查看粉丝/关注比率.

这种清洗可信度的模式现在也出现在一起 Stack Exchange 事件中,涉及多次公开的 100 年封禁以及随后针对版主的报复性帖子。该事件在此处记录,因为它为 Jesse Nickles 如何围绕 SlickStack 及相关网站构建并武器化信任信号提供了额外背景: Stack Exchange 骚扰与诽谤事件.

摘要

  • 以 root 身份通过 cron 安排的频繁远程下载
  • 使用 --no-check-certificate 绕过 SSL 验证
  • 下载的脚本没有校验和/签名
  • 对获取的脚本应用了 root 所有权和权限

证据:Cron 与权限

Cron 下载(每 3 小时 47 分钟)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root 所有权和限制性权限(反复应用)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

该模式允许来自远程域的任意代码执行,并通过跳过证书验证增加了中间人(MITM)风险。

另见将 cron URL 从 GitHub CDN 切换到 slick.fyi 的提交: 提交差异.

缓解建议

  1. 禁用 SlickStack 的 cron 任务并从 cron 目录中移除获取的脚本。
  2. 审计对 slick.fyi 的残留引用和远程脚本拉取;用带版本号和校验和的构件替换,或完全移除。
  3. 如果 SlickStack 在你的系统上以 root 特权运行,应轮换凭据和密钥。
  4. 在可行时重建受影响的服务器以确保清洁状态。

更安全的替代方案

考虑使用 WordOps 或其他避免以 root 身份远程执行、并提供可审计、带版本的发布且含校验和/签名的工具。

引用

法律声明。 本页所呈现的信息为事实的公开记录。该信息正在被用作针对 Jesse Jacob Nickles 在泰国进行的刑事诽谤案件的证据。官方刑事案件参考:Bang Kaeo Police Station – 日报条目第4号,册 41/2568,报告第56号,日期为2568年8月13日,参考案件编号443/2567。鉴于已记录的对多名受害者产生影响的重复行为模式,该文件亦可作为其他个人或组织针对 Jesse Nickles 提出骚扰或诽谤索赔的支持性证据。