暗网硝烟四起：新成立的暗网论坛PwnForums泄露了DarkForums的用户数据库

近期Indra的BreachForums出现了运营崩溃以及所谓的“退出骗局”后，一个名为PwnForums的新暗网论坛应运而生，该论坛一出生即王炸。前几天刚刚人肉了原BreachForums管理员“N/A”的真实身份，随后又发布了其主要竞争对手暗网论坛DarkForums的论坛数据库。可怜的DarkForums遭遇了严重的“背刺”——其大量用户的真实IP地址惨遭泄露，匿名神话再次破灭。

雨后春笋：新成立的暗网论坛PwnForums

PwnForums被确认为一个新成立的独立论坛，据称由Indra版本的BreachForums的前版主和资深成员创建。虽然它声称与之前BreachForums的管理团队没有官方联系，但其领导层构成表明，无论在运营还是社区结构方面，都保持着一定的连续性。

该暗网论坛在功能和用户群方面定位为BreachForums的直接继承者，旨在恢复中断的活动，并为威胁行为者提供熟悉的环境。PwnForums声称拥有截至2026年3月28日原BreachForums更新的历史主题、帖子和用户数据库。

PwnForums的出现凸显了网络犯罪领域一个反复出现的模式：一个平台倒下后，另一个平台会迅速崛起取而代之。凭借继承的信任、现有的用户凭证以及声称拥有的历史数据访问权限，PwnForums 作为数据泄露和网络犯罪分子协作的重建中心，构成了重大风险。

PwnForums的明网域名：pwnforums.[]st

PwnForums的暗网域名：pwnfrm7rbf6kyerigxi677lcz5ifmoagdbqqknwdu2by27wfdst5qmqd[.]onion

内战升级：PwnForums大战DarkForums

4月15日，PwnForums的管理员john在其论坛发布主题：“DarkForums · 420k rows · Posts/Users/IPs”，帖子称“PwnForums社区的各位好，在整倒了N/A之后，我们想向大家介绍由一个名为“Knox”的Pajeet运营的DarkForums（顺便提一句，此人正在出售其用户数据） 我们利用了一个myBB漏洞，从而提取了用户数据。”具体用户数据如下（字段：用户名、IP、主机名、错误、帖子）：

• ~ 427,000 条记录，涵盖帖子 ID 0 至 442,200，每条记录将帖子 ID 与用户名、IP 地址和主机名关联起来。
• ~ 44,300 名唯一用户的 IP 地址被泄露。
• ~ 78,000 个唯一 IP 地址。
• ~ 19,300 次通过 Tor 节点建立的连接。
• ~ 15,200 次通过 VPN/主机服务商建立的连接。
• ~ 97,400 条包含住宅主机名的记录（真实的个人 ISP）。
• ~ 168,400 条无主机名的记录（仅 IP 地址，无反向 DNS）。
• ~ 122,700 条错误记录（67,000条已删除帖子，43,000次超时，7,500次访问被拒）。

john在帖子中说：“您愿意在一个已禁用洋葱服务的论坛上发帖吗？您愿意在一个已将大量 Tor IP 地址列入黑名单的论坛上发帖吗？您愿意在这样一个论坛发帖吗？该论坛不仅记录用户最近一次登录和注册时的IP地址，还记录他们曾在DarkForums发帖时使用的IP地址。”

在暗网的世界里，真实IP地址就是威胁行为者的命门。DarkForums此前一直标榜其平台的安全性和对用户隐私的极致保护，但此次泄露直接撕掉了这层伪装。根据泄露的数据样本显示，其中包含了大量与恶意软件分发、勒索软件协作相关的活跃账号信息。

从技术层面分析，这次泄露极有可能是因为DarkForums的服务器配置存在漏洞，或者由于myBB程序存在0day漏洞导致论坛权限被竞争对手渗透所致。但无论什么原因，当攻击者能够直接获取并公开用户的真实访问日志时，所谓的Tor匿名保护就彻底失效了。

“暗网下/AWX”认为，这不仅仅是一次简单的数据库失窃，更像是暗网论坛之间为了争夺“流量”与“权威”而进行的毁灭性打击。

渔翁得利：全球执法部门和安全研究机构大丰收

此次泄露的影响远超表面，由于许多攻击者在访问论坛时并未能完美地隐藏其真实出口，泄露的IP地址直接指向了他们所使用的VPS服务商、甚至是个人的家庭宽带出口。对于全球执法部门和安全研究机构来说，这无疑是一笔巨大的情报财富。通过对IP地址进行溯源，可以准确定位目标从而获取网络犯罪分子的真实身份。

这起事件再次提醒了那些游走在法律边缘的人：在技术对抗的最高维度，没有绝对的避风港。当暗网论坛开始通过曝光对方用户老底来进行“商业竞争”时，整个地下生态的信任基础正在加速瓦解。对于安全从业者而言，这一定是一个追踪高价值威胁组织（APT）或勒索软件团伙的关键突破口。