墙外论坛2047BBS遭网络攻击一度下线，站长失联疑似被捕

【博闻社特别报道】近日，继承了由“端点星案”被捕者陈玫、蔡伟管理的2049BBS的墙外论坛2047BBS遭到据信由中共黑客主导的网络攻击，一度下线。尽管该论坛的部分老用户以2047BBS(原域名为2047.name)的旧数据库为基础更换域名为2047.one重新开站，但2047.name的站长thphd自1月7日网站下线后失联至今，据该站管理层研判很可能已遭中共当局抓捕。博闻社特约记者采访了2047.one管理团队中的一名管理员孟先生（此为化名），了解到了事件的更多细节。

据孟先生介绍，2047.name在2021年12月底（大约从12月20日到12月27日之间）遭到了一次黑客攻击。“黑客利用了2047处理Youtube链接排版时的一个技术漏洞，导致几条留言被植入了网页代码。经检查发现，此代码会利用浏览器的网页即时通信（WebRTC）绕过代理获取浏览此留言者的IP。以前我们遭受过其他类的网络攻击，但此类网络攻击尚属首次。站长thphd及时修复了漏洞并清除了黑客植入的代码。”

2047.one站方判定此次网络攻击由中共当局支持的黑客主导，孟先生也就此向博闻社特约记者给出了五点具体理由：

“第一，这次攻击的专业程度高，黑客有很强的伪装意识，并且熟悉XSS攻击的常见技巧，这些手段并非资浅的技术人员能够做到。黑客对攻击代码和其中嵌入的链接进行了混淆，这也正是此漏洞持续一周才被发现的原因。
第二，这次攻击消耗的人力大。2047的功能很多，开源的代码有10000多行，从中找出漏洞是非常费时费力的事情。对方研读了2047.name开源的大部分代码，才得以定位这个漏洞。

第三，这次攻击消耗的物力大。对方为了攻击2047BBS，有计划地提前搭建了多个攻击平台。我们事后发现钓鱼代码中嵌入的链接就指向这些平台。

特别地，站方在攻击代码中还发现黑客会把信息发送到cnzz（站长统计网），cnzz是阿里巴巴的子公司，必须实名注册才能使用其服务。显示黑客并不在意在境内是否实名，此次攻击很可能是为了境内利益而服务。
第四，2047.name在2021年10月左右即受到一波HTTP DDoS攻击，其中部分IP地址来自中国和香港腾讯。由于2047BBS在中国已被封锁，因此来自中国的IP就显得非常可疑。我们猜测10月的DDoS攻击可能是这次攻击的前奏。
第五，拜登论坛（h.2047.name）作为2047的子站，也在10月份遭到香港金克斯科技(Jinx Co.)下属IP地址的DDoS攻击，并且在12月27日-30日遭到入侵，黑客使用了NodeBB 1.18.4的提权漏洞，获得了管理员权限，并在页面上放置了类似的攻击脚本。且攻击者的IP地址和在2047发布XSS代码的用户的IP地址相同。”

孟先生还向博闻社特约记者介绍了2047.name站长thphd失联的具体情况：“在发现黑客攻击之后，thphd意识到自己的IP地址可能被泄露，为了以防万一，他交代管理团队做好接手后台的准备。在1月7日，我们发现thphd失联并且网站下线。我们并不确定站长的位置，然而根据种种迹象来看，他失联前很有可能在中国国内。目前我们并无他的最新消息，但他很可能已经遭到中共当局的抓捕。”

至于外界关心的网站安全问题，孟先生表示：“站长thphd失联之后，我们大幅加强了论坛的安全措施，其中包括添加内容安全策略（Content Security Policy）以防御跨站脚本攻击（12月底遭到的黑客攻击就是一次跨站脚本攻击）。目前新添加的安全特性，可以永久杜绝此类问题再次发生。”

有长期关注中国网络自由的分析人士对博闻社指出，随着中共收紧网络管控，中国大陆异议人士被噤声甚至被失踪的事情层出不穷，中共黑客对海外独立中文网站的攻击也愈发猖獗，这既需要国内网民做好安全上网的自我保护措施，也需要国际正义力量的关注和支援。