Хакер #311. Сетевые протоколы под микроскопом
Имиджборд 4chan возобновил работу, но администрация ресурса утверждает, что ущерб от кибератаки, произошедшей в середине апреля, был «катастрофическим».
В минувшие выходные в блоге 4chan появилось официальное заявление администрации ресурса. Админы пишут, что за недавней атакой, в ходе которой было похищено огромное количество конфиденциальных данных, стоял «хакер, использующий британский IP-адрес».
Напомним, что проблемы в работе 4chan начались 14 апреля 2025 года. Тогда сайт практически перестал работать из-за хакерской атаки, а участники имиджборда Soyjak party (также известного как просто The Party) заявили, что за взломом стоят именно они.
В качестве доказательства своих слов члены The Party опубликовали скриншоты административных панелей, возрожденной и дейфейснутой борды /qa/, шаблоны для блокировки пользователей, а также список email-адресов, предположительно принадлежащих администраторам, модераторам и «уборщикам» («janitors», менее привилегированные моды, которые помогают следить за порядком на форумах) 4chan.
Также взломщики поделились множеством скриншотов, которые демонстрируют, что некий хакер имел доступ к административным панелям и инструментам для сотрудников 4chan. С помощью этих инструментов можно было узнать местоположение и IP-адрес любого пользователя, перестроить или перезапустить все борды 4chan, получить доступ к логам, просмотреть статистику сайта и управлять БД с помощью phpMyAdmin.
Члены The Party не сообщили, как именно они получили доступ к системам 4chan. Предполагалось, что ресурс мог быть взломан, поскольку использовал устаревшую версию PHP, датированную 2016 годом и уязвимую перед множеством проблем.
Хотя теперь в заявлении администрации 4chan не упоминается ни PHP, ни какая-либо другая конкретная уязвимость, в сообщении приводится подробная информация о том, как разворачивалась атака.
«Днем 14 апреля хакер с британским IP-адресом эксплуатировал устаревший программный пакет на одном из серверов 4chan через загрузку фиктивного файла PDF, — рассказывают админы. — Через эту точку входа им удалось получить доступ к одному из серверов 4chan, включая доступ к БД и нашей административной панели.
Хакер потратил несколько часов на то, чтобы скачать таблицы базы данных и большую часть исходного кода 4chan. Закончив загрузку, они начали ломать 4chan, после чего модераторам стало известно о происходящем, и серверы 4chan были отключены, чтобы предотвратить дальнейший доступ. В течение следующих дней команда разработчиков 4chan изучала нанесенный ущерб, который, честно говоря, оказался катастрофическим. Хотя не все наши серверы были взломаны, скомпрометирован оказался важнейший из них. Это произошло из-за старых операционных систем и кода, которые не обновлялись своевременно».
Администрация сайта сетует на нехватку денежных средств для поддержания стабильной работы ресурса. Якобы невозможность своевременно обновлять операционные системы, код и инфраструктуру сайта вызвана с «недостаточным количеством квалифицированных человеко-часов», так как «рекламодатели, платежные провайдеры и поставщики услуг годами лишали 4chan финансирования, поддавшись внешнему давлению».
По словам администрации, попытки закупить новое оборудование начались еще в конце 2023 года, а до этого времени сайт работал на серверах, купленных еще основателем 4chan Кристофером Пулом (Christopher Poole), который покинул ресурс в 2015 году.
Лишь к апрелю 2024 года представители 4chan наконец согласовали спецификации необходимых серверов и начали поиск поставщиков, готовых заключить сделку с ресурсом.
«С деньгами у нас всегда туго, и немногие компании были готовы продать нам серверы, так что закупка оборудования оказалась нетривиальной задачей. Нам удалось завершить покупку в июне, а в июле новые серверы были установлены в стойки и запущены в работу, — рассказывают представители администрации. — В течение следующих месяцев мы постепенно переносили все функции на новые серверы, но по-прежнему полагались на старые серверы для выполнения ключевых задач. Весь этот процесс занял гораздо больше времени, чем предполагалось. Свободного времени, которое команда разработчиков 4chan могла посвящать сайту, было недостаточно для того, чтобы быстро обновить наше программное обеспечение и инфраструктуру, и в итоге нам не повезло».
Теперь, спустя две недели после атаки, сайт снова работает, взломанный сервер заменен другим, а критически важное ПО было полностью обновлено.
Представители 4chan пишут, что теперь загрузка PDF-файлов временно отключена (судя по всему, это связано с использованием PDF-файла в атаке), а также закрыта борда /f/, посвященная Flash-играм, поскольку у администрации нет возможности «предотвратить похожие эксплоиты с использованием .swf-файлов».
В настоящее время имиджборд в основном полагается на недавно привлеченных к работе технарей-волонтеров, которые помогают облегчить нагрузку на 4chan, пока продолжаются работы по устранению последствий атаки.
«4chan вернулся. Никакой другой сайт не заменит его или это сообщество. Как бы ни было трудно, мы не сдадимся», — резюмирует администрация ресурса.
