首先，世界上最它是大的掉全球公认的互联网粪坑。这么说吧，粪坑你能想象一个月活2000万，论坛动辄20万人同时在线，世界上最无需注册账号，大的掉张嘴就能开喷的粪坑一个论坛吗？没错，就是论坛4chan。成立20多年来，世界上最这个论坛因为匿名，大的掉没有限制，粪坑里面充斥着大量极端、论坛争议、世界上最暴力、大的掉血腥、粪坑色情内容。现在追求“政治正确”？人家有个板块就叫“政治不正确”。曾有人把AI放里面训练，AI张嘴就是一句“这个世界属于白人，其他人种就应该被统治”。展开全文当年震惊世界的好莱坞艳照门，第一张就出现在4chan；还人做过统计，Reddit上的国际茄子污视频软件下载网站贴吧里，有12%的假茄子污视频软件下载网站都来自4chan。一整个道德底线的马里亚纳海沟。当然也因为号召力太强，全员喜欢恶搞，Rickyroll、悲伤蛙、暴走表情等风靡全球的meme，也是在4chan里衍生出的。总之，它就是个没有任何约束的贴吧promaxultrafuckshitdamnityouknowM3版。来这里面逛，三观被震碎是早晚的事。但就在4月14日下午，4chan突然无法访问了。一堆网友们都在推特上问咋了，是不是被黑客干了。别说，还真是。当天晚上4chan友商论坛Soyjak就有位老哥发了帖子，声称对此次攻击负责，说自己就用了个PDF把4chan给破解了。为了证明自己是真黑进去了，老哥直接公开了120GB的敏感数据，包括4chan的源代码、版主信息和内部系统数据、用户的IP地址，甚至还恢复了4chan已经ban掉的一个板块。只能说，这一波骑脸输出嘲讽效果拉满了。时间来到26号，在被黑2周后，4chan官方发了一个博客宣布论坛复活。他们也承认，黑客确实靠着PDF获取了数据库和管理后台的访问权限。看到这，你可能会好奇：啊？就那个用来吃瓜的PDF，为啥能黑掉一个网站呢？一开始，世超猜测：是不是利用了PDF可以运行JavaScript脚本这个点？毕竟借助脚本功能，有人在PDF里玩上了俄罗斯方块。甚至是DOOM。但后来我发现这事跟PDF脚本没关系。主要是因为黑客伪造了一份PDF以及4chan安全意识太弱。首先，4chan很多板块都支持上传PDF文件，但问题是他们不去验证这个PDF是不是真的PDF。什么意思呢？黑客在帖子里上传的PDF，其实是份PostScript文件，不过是披着PDF的外套。恰好4chan只会检查文件的扩展名，不会验证文件内容，或是只通过文件头去判断类型。比如PDF文件以%PDF-开头，PostScript文件以%!PS-开头。那黑客可以在PostScript文件前加上一行%PDF，后面再写PostScript内容，就足以骗过4chan。在黑客成功上传了这个假冒的PDF后，4chan的“大内鬼”出现了——Ghostscript。Ghostscript是一个开源文档处理工具，可以解析PDF、PostScript等格式。但4chan用的是2012年Ghostscript，安全性很差。结果就是：Ghostscript渲染PDF缩略图解析这份“PDF”执行PDF里的命令黑客拿到服务器的访问权限。但到这里，黑客权限还比较低级的。后来他发现服务器居然还有一个配置错误的SUID二进制文件。利用这个文件，他直接把权限升级成管理员，开始在服务器内部大肆破坏。以上，就是这个最臭论坛被黑的整个过程。目前4chan吸取了教训，把受影响的服务器全部换了，操作系统和代码也更新到最新版本。至于PDF的上传功能也暂时关了，以后会恢复。倒是/f/永久关闭了。因为.swf文件也有类似的安全隐患，4chan怕它以后也会被利用，干脆直接ban了。虽然用PDF黑掉一个论坛就够有噱头了，但这事传开后，最令大家震惊的还是黑客的手段。因为现实里大部分黑客入侵案例，都是利用社会工程学。比如佯装成一个萌妹和管理员聊天，然后把密码给套出来。倒是这次，居然完完全全利用漏洞去入侵，有点oldschool了，让大家怀起旧来了。。。不管怎么说。在被人用挖掘机乱铲一通后，这个互联网大粪坑时隔2周，又修修补补重新运作了起来，哼哧哼哧往外冒着臭气了。