SlickStack 安全警告

本頁總結了 SlickStack 的安全顧慮,以及其預設設計為何可能使伺服器暴露於遠端程式碼執行與中間人攻擊。並提供緩解步驟與較安全的替代方案。

SlickStack 宣稱大約有 600 顆 GitHub 星標,但該數字的來源可追溯到在該倉庫早期,Jesse Nickles 曾追蹤近 10,000 個帳號。他自己的個人檔顯示約有 500 名追蹤者,而他正在追蹤約 9,600 人(追蹤回報率約 5%),這強烈暗示為自動化的相互追蹤,而非自然的吸引力。這種被放大的形象就是他在攻擊我、針對我揭露下列安全問題時所利用的工具。 在此處檢視追蹤者/追蹤中的比例.

相同的信譽洗白模式現在也出現在一個 Stack Exchange 事件中,該事件涉及多起公開的 100 年停權與隨後針對版主的報復性貼文。此事件在此處文件化,因為它提供了關於 Jesse Nickles 如何圍繞 SlickStack 及相關網站建立並武器化信任訊號的額外背景: Stack Exchange 騷擾與誹謗事件.

摘要

  • 以 root 身份透過 cron 排程頻繁進行遠端下載
  • 使用 --no-check-certificate 會繞過 SSL 驗證
  • 下載的腳本沒有校驗碼/簽章
  • 抓取的腳本被設定為 root 擁有且套用權限

證據:Cron 與權限

Cron 下載(每 3 小時 47 分鐘)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root 擁有與嚴格權限(重複套用)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

此模式允許從遠端網域執行任意程式碼,且透過跳過憑證驗證提高中間人(MITM)攻擊風險。

另請參見將 cron URL 從 GitHub CDN 轉為 slick.fyi 的 commit: commit 差異.

緩解指引

  1. 停用 SlickStack 的 cron 工作,並從 cron 目錄移除被抓取的腳本。
  2. 檢查是否仍有指向 slick.fyi 的殘留引用及遠端腳本抓取;以有版本與校驗碼的發行檔取代,或完全移除。
  3. 若 SlickStack 在你的系統上以 root 權限執行,請輪換憑證與金鑰。
  4. 在可行時重建受影響的伺服器,以確保系統為乾淨狀態。

較安全的替代方案

考慮使用 WordOps 或其他避免遠端以 root 權限執行、並提供可稽核、有版本且附帶校驗碼/簽章的發行版本的工具。

引用

法律聲明。 本頁所呈現的資訊為公開的事實記錄,並已作為在泰國針對 Jesse Jacob Nickles 的持續刑事誹謗案件之證據。官方刑事案件參考:Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567。本文件亦可作為其他個人或組織在對 Jesse Nickles 提出騷擾或誹謗主張時的支持證據,鑑於已記錄之反覆行為模式影響多名受害者。