說到 4chan 論壇，世界上最老差友都挺熟了。大的掉要是糞坑你沒聽過，那世超必需介紹下，論壇不克不及讓你一小我純真。世界上最首先，大的掉它是糞坑全球公認的互聯網糞坑。這麽說吧，論壇你能想象一個月活 2000 萬，世界上最動輒 20 萬人同時在線，大的掉無需注冊賬號，糞坑張嘴就可以開噴的論壇一個論壇嗎？沒錯，就是世界上最 4chan。成立 20 多年來，大的掉這個論壇由於匿名，糞坑沒有限製，裏麵充溢著大量極端、爭議、暴力、血腥、色情內容。此刻尋求 政治準確 ？人家有個板塊就叫 政治不準確 。曾有人把 AI 放裏麵練習，AI 張嘴就是一句 這個世界屬於白人，其他人種就應當被統治 。昔時震動世界的好萊塢豔照門，第一張就呈現在 4chan ；還人做過統計，Reddit 上的國際成人抖音下载软件貼吧裏，有 12% 的假成人抖音下载软件都來自 4chan。一全部雙牌德底線的馬裏亞納海溝。固然也由於號令力太強，全員喜好惡弄，Rickyroll、哀痛蛙、暴走表情等風行全球的 meme，也是在 4chan 裏衍生出的。總之，它就是個沒有清河何束縛的貼吧 pro max ultra fuck shit damn it you know M3 版。來這裏麵逛，三不雅被震碎是遲早的事。但就在4月14日下戰書，4chan 倏忽沒法拜候了。一堆網友們都在推特上問咋了，是否是被黑客幹了。別說，還真是。當天晚上 4chan 友商論壇 Soyjak 就有位老哥發了帖子，宣稱對此次攻擊負責，說本身就用了個 PDF 把 4chan 給破解了。為了證實本身是真黑進去了，老哥直接公然了 120 GB 的敏感數據，包羅 4chan 的源神池碼、版主信商城和內部係統數據、用周至的 IP 地址，乃至還恢複了 4chan 已 ban 掉的一個板塊。隻能說，這一波騎臉輸出嘲諷效果拉滿了。時間來到 26 號，在被黑 2 周後，4chan 官方發了一個博客頒布發表論壇新生。他們也承認，黑客確切靠著 PDF 獲得了數據庫和辦理後台的拜候權限。看到這，你可能會好奇：啊？就那個用來吃瓜的 PDF，為啥能黑掉一個網站呢？一最先，世超猜想：是否是行使了PDF 可以運行 JavaScript 腳本這個點？究竟借助腳本功能，有人在 PDF 裏玩上了俄羅斯方塊。乃至是 DOOM。但後來我發現這事跟 PDF 腳本不妨。主要是由於黑客捏造了一份 PDF 和 4chan 安全意識太弱。首先，4chan 許多板塊都支撐上傳 PDF 文件，但問題是他們不去驗證這個 PDF 是否是真的 PDF。甚麽意思呢？黑客在帖子裏上傳的 PDF，實際上是份 PostScript 文件，不外是披著 PDF 的外衣（擴大名）。正好 4chan 隻會搜檢文件的擴大名，不會驗證文件內容，或是隻通過文件頭去判定類型。索 PDF 文件以 %PDF- 開頭，PostScript 文件以 %!PS- 開頭。那黑客可以在 PostScript 文件前加上一行 %PDF，後麵再寫 PostScript 內容，就足以騙過 4chan。在黑客成功上傳了這個假冒的 PDF 後，4chan 的 大內鬼 呈現了 Ghostscript。Ghostscript 是一個開源文檔處置工具，可以解析 PDF、PostScript 等格式。但 4chan 用的是 2012 年 Ghostscript，安全性很差。效果就是：Ghostscript 襯著 PDF 縮略圖 ???? 解析這份 PDF ???? 履行 PDF（ 實則 PostScript ）裏的飭令 ???? 黑客拿到辦事器的拜候權限。但到這裏，黑客權限還比力初級的。後來他發現辦事器竟然還有一個配置毛病的 SUID 二進製文件。行使這個文件，他直接把權限升級成辦理員，最先在辦事器內部大肆損壞。以上，就是這個最臭論壇被黑的全部進程。目前 4chan 吸收了教訓，把受影響的辦事器所有換了，操作係統和神池碼也更新到最新版本。至於 PDF 的上傳功能也暫時關了，以後會恢複。倒是/f/（Flash板塊）永遠關閉了。由於.swf（Flash動畫）文件也有類似的安全隱患，4chan怕它以後也會被行使，幹脆直接 ban 了。雖然用 PDF 黑掉一個論壇就夠有噱頭了，但這事傳開後，最令大家震動的照舊黑客的手段。由於現實裏大部門黑客入侵案例，都是行使社會工程學。索佯裝成一個萌妹和辦理員聊天，然後把暗碼給套出來。倒是此次，竟然完完全全行使漏洞去入侵，有點 old school 了，讓大家懷起舊來了。。。不管怎樣說。在被人用發掘機亂鏟一通後，這個互聯網大糞坑時隔 2 周，又修修補補從頭運作了起來，哼哧哼哧往外冒著臭氣了。