一個0day被披露后，我們的網絡世界會發生些什么事情?

2013年6月7號，網上披露了一個針對Dedecms系統的高危漏洞，利用該漏洞，攻擊者可以直接獲取網站服務器的控制權。Dedecms系統是國內非常流行的一款CMS系統(內容管理系統)，使用量非常廣。

從漏洞被披露當天開始，SCANV網站安全中心就監控到利用此漏洞攻擊網站的行為。并對攻擊日志數據進行了整理、統計和關聯分析之后，將披露漏洞、研制工具、批量攻擊的過程一窺究竟。

第一天

6月7號，SCANV網站安全中心監控到的攻擊行為均為人工手動攻擊，這部分攻擊者是“消息靈通人士”，在最早的時間里獲取了漏洞詳情，并自行研究出了攻擊方法，試圖在網站管理員做出漏洞修補防御之前，對網站實施攻擊。

第二天

6月8號，SCANV網站安全中心監控到已經出現兩款針對該漏洞特制的攻擊工具。

第一款攻擊工具：攻擊者的IP地址來源于同一個C段，針對多個網站進行了漏洞攻擊，其中只有少數幾個網站使用的是Dedecms系統，可以看出這款工具的使 用者是針對一批站點進行盲目的攻擊;推測每當有新漏洞出現，該攻擊者均會及時制作工具，并針對多個站點進行漏洞掃描攻擊。

第二款攻擊工具：攻擊者的IP地址來源于六個省市，攻擊目標多為Dedecms系統，且出現同一個攻擊目標被多個IP地址攻擊的情況;推測，該款工具在小范圍或者小團隊內進行傳播，攻擊成員各自嘗試對自己的既定目標進行攻擊。

第三天

6月9號，SCANV網站安全中心監控到第三款攻擊工具的出現。該攻擊工具的攻擊者IP地址僅有1個，其攻擊目標與前一天第二款攻擊工具的攻擊目標有重合。推測第三款工具是基于第二款工具修改研制而得，為同一批的攻擊者。

第四天

6月10號，SCANV網站安全中心監控到第四款攻擊工具的出現。

第五天

6月11號，SCANV網站安全中心又監控到兩款新的攻擊工具。

第五款攻擊工具，攻擊者IP地址來源僅有3個，其攻擊目標的網站中，有80%使用的是Dedecms系統，可見是事先整理好了使用Dedecms系統的網站列表，進行針對性的攻擊。推測由于其網站列表數據更新比較慢的原因，導致有20%的站點為無效攻擊。

第六款攻擊工具，攻擊者使用網絡請求數據包頭中的User-Agent值為python-requests，可見攻擊者是采用python語言進行研制的攻 擊工具。攻擊者IP地址來源位于西安電子科技大學和韓國，其攻擊目標100%皆為Dedecms系統，很明顯攻擊之前有過踩點行為。

第六天

6月12號，又監控到兩款新的攻擊工具，并且之前出現的所有攻擊工具在這一天均有進行攻擊行為。

其中，第五款攻擊工具，今天攻擊目標是Dedecms系統的比例為100%，較上一次更為精準。

第六款攻擊工具，使用者來源IP地址仍然為西安電子科技大學和韓國，推測該攻擊工具僅為一人研制一人使用，且手中擁有多個韓國肉雞。

第七天

6月13號，再次出現新的攻擊工具，并且之前出現的所有工具在這一天均有發現攻擊行為。

其中有一款新的攻擊工具，通過修改攻擊請求數據包中的User-Agent值，企圖偽裝成google掃描器，但是攻擊工具的IP地址來源并不是google。

從漏洞被披露的當天開始，7天時間內，共出現了10款攻擊工具。攻擊來源IP地址共368個，先后對705個網站發起了1613次攻擊行為。

通過對攻擊數據的統計和關聯分析，SCANV網站安全中心總結了一些行為規律：

1、漏洞被披露當天就實施攻擊的攻擊者，均采用人工手動攻擊。因為在當天，針對該漏洞特制的工具尚未研制成功。但僅在第二天，特制的工具就已經出現。說明，攻擊者從漏洞被披露到工具研制，僅需一天時間。

2、從一款工具的攻擊來源IP地址和攻擊頻率，可以大致推斷使用該工具的攻擊者身份：IP地址來自同一個C段，且攻擊頻繁，可推測是某個團體組織;IP地址來 自于CDN節點或者網站地址，可推測是站點被黑后，被當作黑客的跳板機使用;IP地址來自于國內的某個IP或某個國家的IP、攻擊頻率低、攻擊針對性強，可推測是個體行為，且在某個國家具有多臺肉雞作為跳板機。

3、發起攻擊請求越多的攻擊者，攻擊目標是Dedecms系統的比例越低，其針對性越差，推測是根據站點列表盲目攻擊;而發起攻擊請求越少的攻擊者，攻擊目標是Dedecms系統的比例就越高，推測是進行攻擊之前有過踩點、或者手頭有一份使用Dedecms系統的站點列表，這類型的攻擊者最可怕。

4、在遭受攻擊較多的網站中，使用Dedecms系統的比例遠高于使用其他Web系統的網站。