近日,继承了由“端点星案”被捕者陈玫、蔡伟管理的2049BBS的墙外论坛2047BBS遭到据信由中共黑客主导的网络攻击,一度下线。尽管该论坛的部分老用户以2047BBS(原域名为2047.name)的旧数据库为基础更换域名为2047.one重新开站,但2047.name的站长thphd自1月7日网站下线后失联至今,据该站管理层研判很可能已遭中共当局抓捕。博闻社特约记者采访了2047.one管理团队中的一名管理员孟先生(此为化名),了解到了事件的更多细节。

file

近日,继承了由“端点星案”被捕者陈玫、蔡伟管理的2049BBS的墙外论坛2047BBS遭到据信由中共黑客主导的网络攻击,一度下线。尽管该论坛的部分老用户以2047BBS(原域名为2047.name)的旧数据库为基础更换域名为2047.one重新开站,但2047.name的站长thphd自1月7日网站下线后失联至今,据该站管理层研判很可能已遭中共当局抓捕。博闻社特约记者采访了2047.one管理团队中的一名管理员孟先生(此为化名),了解到了事件的更多细节。

据孟先生介绍,2047.name在2021年12月底(大约从12月20日到12月27日之间)遭到了一次黑客攻击。“黑客利用了2047处理Youtube链接排版时的一个技术漏洞,导致几条留言被植入了网页代码。经检查发现,此代码会利用浏览器的网页即时通信(WebRTC)绕过代理获取浏览此留言者的IP。以前我们遭受过其他类的网络攻击,但此类网络攻击尚属首次。站长thphd及时修复了漏洞并清除了黑客植入的代码。”

2047.one站方判定此次网络攻击由中共当局支持的黑客主导,孟先生也就此向博闻社特约记者给出了五点具体理由:

“第一,这次攻击的专业程度高,黑客有很强的伪装意识,并且熟悉XSS攻击的常见技巧,这些手段并非资浅的技术人员能够做到。黑客对攻击代码和其中嵌入的链接进行了混淆,这也正是此漏洞持续一周才被发现的原因。

第二,这次攻击消耗的人力大。2047的功能很多,开源的代码有10000多行,从中找出漏洞是非常费时费力的事情。对方研读了2047.name开源的大部分代码,才得以定位这个漏洞。

第三,这次攻击消耗的物力大。对方为了攻击2047BBS,有计划地提前搭建了多个攻击平台。我们事后发现钓鱼代码中嵌入的链接就指向这些平台。

特别地,站方在攻击代码中还发现黑客会把信息发送到cnzz(站长统计网),cnzz是阿里巴巴的子公司,必须实名注册才能使用其服务。显示黑客并不在意在境内是否实名,此次攻击很可能是为了境内利益而服务。

第四,2047.name在2021年10月左右即受到一波HTTP DDoS攻击,其中部分IP地址来自中国和香港腾讯。由于2047BBS在中国已被封锁,因此来自中国的IP就显得非常可疑。我们猜测10月的DDoS攻击可能是这次攻击的前奏。

第五,拜登论坛(h.2047.name)作为2047的子站,也在10月份遭到香港金克斯科技(Jinx Co.)下属IP地址的DDoS攻击,并且在12月27日-30日遭到入侵,黑客使用了NodeBB 1.18.4的提权漏洞,获得了管理员权限,并在页面上放置了类似的攻击脚本。且攻击者的IP地址和在2047发布XSS代码的用户的IP地址相同。”

孟先生还向博闻社特约记者介绍了2047.name站长thphd失联的具体情况:“在发现黑客攻击之后,thphd意识到自己的IP地址可能被泄露,为了以防万一,他交代管理团队做好接手后台的准备。在1月7日,我们发现thphd失联并且网站下线。我们并不确定站长的位置,然而根据种种迹象来看,他失联前很有可能在中国国内。目前我们并无他的最新消息,但他很可能已经遭到中共当局的抓捕。“

至于外界关心的网站安全问题,孟先生表示:“站长thphd失联之后,我们大幅加强了论坛的安全措施,其中包括添加内容安全策略(Content Security Policy)以防御跨站脚本攻击(12月底遭到的黑客攻击就是一次跨站脚本攻击)。目前新添加的安全特性,可以永久杜绝此类问题再次发生。”

有长期关注中国网络自由的分析人士对博闻社指出,随着中共收紧网络管控,中国大陆异议人士被噤声甚至被失踪的事情层出不穷,中共黑客对海外独立中文网站的攻击也愈发猖獗,这既需要国内网民做好安全上网的自我保护措施,也需要国际正义力量的关注和支援。

以下为2047论坛首页发布的《关于1月8日至1月15日下线情况的说明》:

imgv