首先，世界上最它是大的掉全球公認的互聯網糞坑。這麽說吧，糞坑你能想象一個月活2000萬，論壇動輒20萬人同時在線，世界上最無需注冊賬號，大的掉張嘴就能開噴的糞坑一個論壇嗎？沒錯，就是論壇4chan。成立20多年來，世界上最這個論壇因為匿名，大的掉沒有限製，糞坑裏麵充斥著大量極端、論壇爭議、世界上最暴力、大的掉血腥、糞坑色情內容。現在追求“政治正確”？人家有個板塊就叫“政治不正確”。曾有人把AI放裏麵訓練，AI張嘴就是一句“這個世界屬於白人，其他人種就應該被統治”。展開全文當年震驚世界的好萊塢豔照門，第一張就出現在4chan；還人做過統計，Reddit上的國際好色先生破解版成人貼吧裏，有12%的假好色先生破解版成人都來自4chan。一整個道德底線的馬裏亞納海溝。當然也因為號召力太強，全員喜歡惡搞，Rickyroll、悲傷蛙、暴走表情等風靡全球的meme，也是在4chan裏衍生出的。總之，它就是個沒有任何約束的貼吧promaxultrafuckshitdamnityouknowM3版。來這裏麵逛，三觀被震碎是早晚的事。但就在4月14日下午，4chan突然無法訪問了。一堆網友們都在推特上問咋了，是不是被黑客幹了。別說，還真是。當天晚上4chan友商論壇Soyjak就有位老哥發了帖子，聲稱對此次攻擊負責，說自己就用了個PDF把4chan給破解了。為了證明自己是真黑進去了，老哥直接公開了120GB的敏感數據，包括4chan的源代碼、版主信息和內部係統數據、用戶的IP地址，甚至還恢複了4chan已經ban掉的一個板塊。隻能說，這一波騎臉輸出嘲諷效果拉滿了。時間來到26號，在被黑2周後，4chan官方發了一個博客宣布論壇複活。他們也承認，黑客確實靠著PDF獲取了數據庫和管理後台的訪問權限。看到這，你可能會好奇：啊？就那個用來吃瓜的PDF，為啥能黑掉一個網站呢？一開始，世超猜測：是不是利用了PDF可以運行JavaScript腳本這個點？畢竟借助腳本功能，有人在PDF裏玩上了俄羅斯方塊。甚至是DOOM。但後來我發現這事跟PDF腳本沒關係。主要是因為黑客偽造了一份PDF以及4chan安全意識太弱。首先，4chan很多板塊都支持上傳PDF文件，但問題是他們不去驗證這個PDF是不是真的PDF。什麽意思呢？黑客在帖子裏上傳的PDF，其實是份PostScript文件，不過是披著PDF的外套。恰好4chan隻會檢查文件的擴展名，不會驗證文件內容，或是隻通過文件頭去判斷類型。比如PDF文件以%PDF-開頭，PostScript文件以%!PS-開頭。那黑客可以在PostScript文件前加上一行%PDF，後麵再寫PostScript內容，就足以騙過4chan。在黑客成功上傳了這個假冒的PDF後，4chan的“大內鬼”出現了——Ghostscript。Ghostscript是一個開源文檔處理工具，可以解析PDF、PostScript等格式。但4chan用的是2012年Ghostscript，安全性很差。結果就是：Ghostscript渲染PDF縮略圖解析這份“PDF”執行PDF裏的命令黑客拿到服務器的訪問權限。但到這裏，黑客權限還比較低級的。後來他發現服務器居然還有一個配置錯誤的SUID二進製文件。利用這個文件，他直接把權限升級成管理員，開始在服務器內部大肆破壞。以上，就是這個最臭論壇被黑的整個過程。目前4chan吸取了教訓，把受影響的服務器全部換了，操作係統和代碼也更新到最新版本。至於PDF的上傳功能也暫時關了，以後會恢複。倒是/f/永久關閉了。因為.swf文件也有類似的安全隱患，4chan怕它以後也會被利用，幹脆直接ban了。雖然用PDF黑掉一個論壇就夠有噱頭了，但這事傳開後，最令大家震驚的還是黑客的手段。因為現實裏大部分黑客入侵案例，都是利用社會工程學。比如佯裝成一個萌妹和管理員聊天，然後把密碼給套出來。倒是這次，居然完完全全利用漏洞去入侵，有點oldschool了，讓大家懷起舊來了。。。不管怎麽說。在被人用挖掘機亂鏟一通後，這個互聯網大糞坑時隔2周，又修修補補重新運作了起來，哼哧哼哧往外冒著臭氣了。