4月14日下午,全球公认的“互联网粪坑”——4chan论坛突然无法访问,引发网友猜测。当天晚上,友商论坛Soyjak上一位自称黑客的人发帖,称用一个PDF文件就破解了4chan。为证明自己,他公开了120GB的敏感数据,包括源代码、版主信息、内部系统数据和用户IP地址,还恢复了被ban的板块。
4chan论坛成立20多年,月活2000万,20万人可同时在线,无需注册即可发言。因其匿名且无限制,充斥着极端、争议、暴力、血腥、色情内容。例如,好莱坞艳照门第一张照片就出自这里,Reddit上12%的假新闻也源于此。不过,风靡全球的Rickyroll、悲伤蛙、暴走表情等meme也是在4chan衍生的。
到了26号,被黑两周后的4chan官方发博客宣布论坛复活,并承认黑客通过PDF获取了数据库和管理后台的访问权限。那么,普通的PDF为何能黑掉网站呢?
起初有人猜测,可能是利用了PDF可运行JavaScript脚本这一特性,毕竟有人曾借助该功能在PDF里玩俄罗斯方块和DOOM。但后来发现,此次攻击与PDF脚本无关,主要是黑客伪造PDF,加上4chan安全意识薄弱。
4chan很多板块支持上传PDF文件,却不验证文件真伪。黑客上传的所谓PDF,实际是PostScript文件,只是改了扩展名。4chan仅检查扩展名,不验证内容或仅通过文件头判断类型,黑客在PostScript文件前加一行“%PDF”就骗过了它。
上传假冒PDF后,4chan的开源文档处理工具Ghostscript成了“大内鬼”。4chan用的是2012年版本的Ghostscript,安全性差。它在渲染PDF缩略图时,解析了这份“PDF”并执行其中命令,让黑客获得了服务器访问权限。
起初黑客权限较低,但他发现服务器里有配置错误的SUID二进制文件,借此将权限升级为管理员,在服务器内部大肆破坏。
目前,4chan吸取教训,更换了受影响的服务器,更新了操作系统和代码,还暂时关闭了PDF上传功能,日后会恢复。不过,/f/(Flash板块)因.swf文件存在类似安全隐患,被永久关闭。
此次用PDF黑掉论坛的事件引发关注,与多数利用社会工程学的黑客入侵案例不同,这次是完全利用漏洞,让大家感受到了old school的风格。
