情侣圣诞节活动方案这么说吧，你能想象一个月活 2000 万，动辄 20 万人同时在线，无需注册账号，张嘴就能开喷的一个论坛吗？

　　成立 20 多年来，这个论坛因为匿名，没有限制，里面充斥着大量极端、争议、暴力、血腥、内容。

　　曾有人把 AI 放里面训练，AI 张嘴就是一句“ 这个世界属于白人，其他人种就应该被统治 ”。

　　当年震惊世界的好莱坞艳照门，第一张就出现在 4chan ；还人做过统计，Reddit 上的国际新闻贴吧里，有 12% 的假新闻都来自 4chan。

　　当然也因为号召力太强，全员喜欢恶搞，Rickyroll、悲伤蛙、暴走表情等风靡全球的 meme，也是在 4chan 里衍生出的。

　　但就在4月14日下午，4chan 突然无法访问了。一堆网友们都在推特上问咋了，是不是被黑客干了。

　　别说，还线chan 友商论坛 Soyjak 就有位老哥发了帖子，声称对此次攻击负责，

　　为了证明自己是真黑进去了，老哥直接公开了 120 GB 的敏感数据，包括 4chan 的源代码、版主信息和内部系统数据、用户的 IP 地址，甚至还恢复了 4chan 已经 ban 掉的一个板块。

　　时间来到 26 号，在被黑 2 周后，4chan 官方发了一个博客宣布论坛复活。他们也承认，黑客确实靠着 PDF 获取了数据库和管理后台的访问权限。

　　首先，4chan 很多板块都支持上传 PDF 文件，但问题是他们不去验证

　　黑客在帖子里上传的 PDF，其实是份 PostScript 文件，不过是披着 PDF 的外套（扩展名）。

　　恰好 4chan 只会检查文件的扩展名，不会验证文件内容，或是只通过文件头去判断类型。

　　后来他发现服务器居然还有一个配置错误的 SUID 二进制文件。利用这个文件，他直接把权限升级成管理员，开始在服务器内部大肆破坏。

　　目前 4chan 吸取了教训，把受影响的服务器全部换了，操作系统和代码也更新到最新版本。至于 PDF 的上传功能也暂时关了，以后会恢复。

　　倒是/f/（Flash板块）永久关闭了。因为.swf（Flash动画）文件也有类似的安全隐患，4chan怕它以后也会被利用，干脆直接 ban 了。

　　因为现实里大部分黑客入侵案例，都是利用社会工程学。比如佯装成一个萌妹和管理员聊天，然后把密码给套出来。

　　在被人用挖掘机乱铲一通后，这个互联网大粪坑时隔 2 周，又修修补补重新运作了起来，哼哧哼哧往外冒着臭气了。