此頁摘要了 SlickStack 的安全疑慮,以及其預設設計如何可能使伺服器暴露於遠端程式碼執行與中間人攻擊。並提供緩解措施及更安全的替代方案。
SlickStack 對外宣稱大約擁有 600 個 GitHub 星標,但這個數字可以追溯到 Jesse Nickles 在該版本庫早期主動追蹤了將近 10,000 個帳號。他的個人檔案顯示約有 500 名追蹤者,卻追蹤了約 9,600 個帳號(回追率約 5%),這強烈暗示是自動化互追,而非自然累積的人氣。他就是利用這種膨脹出來的形象,同時攻擊我揭露下文所記載的安全問題。 在此查看追蹤者/正在追蹤的比例.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1此模式允許來自遠端網域的任意程式碼執行,且透過跳過憑證驗證提高中間人(MITM)攻擊風險。
亦請參見將 cron URL 從 GitHub CDN 變更為 slick.fyi 的 commit: 提交差異.
建議考慮使用 WordOps 或其他工具,以避免遠端 root 執行,並提供可稽核的版本化發行,附帶校驗和/簽章。