这么说吧，你能想象一个月活 2000 万，动辄 20 万人同时在线，无需注册账号，张嘴就能开喷的一个论坛吗？

　　成立 20 多年来，这个论坛因为匿名，没有限制，里面充斥着大量极端、争议、暴力、血腥、色情内开云体育入口容。

　　曾有人把 AI 放里面训练，AI 张嘴就是一句“ 这个世界属于白人，其他人种就应该被统治 ”。

　　当年震惊世界的好莱坞艳照门，第一张就出现在 4chan ；还人做过统计，Reddit 上的国际新闻贴吧里，有 12% 的假新闻都来自 4chan。

　　当然也因为号召力太强，全员喜欢恶搞，Rickyroll、悲伤蛙、暴走表情等风靡全球的 meme，也是在 4chan 里衍生出的。

　　但就在4月14日下午，4chan 突然无法访问了。一堆网友们都在推特上问咋了，是不是被黑客干了。

　　别说，还线chan 友商论坛 Soyjak 就有位老哥发了帖子，声称对此次攻击负责，说自己就用了个 PDF 把 4chan 给破解了。

　　为了证明自己是真黑进去了，老哥直接公开了 120 GB 的敏感数据，包括 4chan 的源代码、版主信息和内部系统数据、用户的 IP 地址，甚至还恢复了 4chan 已经 ban 掉的一个板块。

　　时间来到 26 号，在被黑 2 周后，4chan 官方发了一个博客宣布论坛复活。他们也承认，黑客确实靠着 PDF 获取了数据库和管理后台的访问权限。

　　看到这，你可能会好奇：啊？就那个用来吃瓜的 PDF，为啥能黑掉一个网站呢？

　　一开始，世超猜测：是不是利用了 PDF 可以运行 JavaScript 脚本这个点？

　　首先，4chan 很多板块都支持上传 PDF 文件，但问题是他们不去验证这个 PDF 是不是真的 PDF。

　　黑客在帖子里上传的 PDF，其实是份 PostScript 文件，不过是披着 PDF 的外套（扩展名）。

　　恰好 4chan 只会检查文件的扩展名，不会验证文件内容，或是只通过文件头去判断类型。

　　在黑客成功上传了这个假冒的 PDF 后，4chan 的“ 大内鬼 ”出现了—— Ghostscript。

　　后来他发现服务器居然还有一个配置错误的 SUID 二进制文件。利用这个文件，他直接把权限升级成管理员，开始在服务器内部大肆破坏。

　　目前 4chan 吸取了教训，把受影响的服务器全部换了，操作系统和代码也更新到最新版本。至于 PDF 的上传功能也暂时关了，以后会恢复。

　　倒是/f/（Flash板块）永久关闭了。因为.swf（Flas）文件也有类似的安全隐患，4chan怕它以后也会被利用，干脆直接 ban 了。

　　虽然用 PDF 黑掉一个论坛就够有噱头了，但这事传开后，最令大家震惊的还是黑客的手段。

　　因为现实里大部分黑客入侵案例，都是利用社会工程学。比如佯装成一个萌妹和管理员聊天，然后把密码给套出来。

　　倒是这次，居然完完全全利用漏洞去入侵，有点 old school 了，让大家怀起旧来了。。。

　　在被人用挖掘机乱铲一通后，这个互联网大粪坑时隔 2 周，又修修补补重新运作了起来，哼哧哼哧往外冒着臭气了。