一个0day被披露后，我们的网络世界会发生些什么事情？

2013年6月7号，网上披露了一个针对Dedecms系统的高危漏洞，利用该漏洞，攻击者可以直接获取网站服务器的控制权。Dedecms系统是国内非常流行的一款CMS系统（内容管理系统），使用量非常广。

从漏洞被披露当天开始，SCANV网站安全中心就监控到利用此漏洞攻击网站的行为。并对攻击日志数据进行了整理、统计和关联分析之后，将披露漏洞、研制工具、批量攻击的过程一窥究竟。

第一天

6月7号，SCANV网站安全中心监控到的攻击行为均为人工手动攻击，这部分攻击者是“消息灵通人士”，在最早的时间里获取了漏洞详情，并自行研究出了攻击方法，试图在网站管理员做出漏洞修补防御之前，对网站实施攻击。

第二天

6月8号，SCANV网站安全中心监控到已经出现两款针对该漏洞特制的攻击工具。

第一款攻击工具：攻击者的IP地址来源于同一个C段，针对多个网站进行了漏洞攻击，其中只有少数几个网站使用的是Dedecms系统，可以看出这款工具的使 用者是针对一批站点进行盲目的攻击；推测每当有新漏洞出现，该攻击者均会及时制作工具，并针对多个站点进行漏洞扫描攻击。

第二款攻击工具：攻击者的IP地址来源于六个省市，攻击目标多为Dedecms系统，且出现同一个攻击目标被多个IP地址攻击的情况；推测，该款工具在小范围或者小团队内进行传播，攻击成员各自尝试对自己的既定目标进行攻击。

第三天

6月9号，SCANV网站安全中心监控到第三款攻击工具的出现。该攻击工具的攻击者IP地址仅有1个，其攻击目标与前一天第二款攻击工具的攻击目标有重合。推测第三款工具是基于第二款工具修改研制而得，为同一批的攻击者。

第四天

6月10号，SCANV网站安全中心监控到第四款攻击工具的出现。

第五天

6月11号，SCANV网站安全中心又监控到两款新的攻击工具。

第五款攻击工具，攻击者IP地址来源仅有3个，其攻击目标的网站中，有80%使用的是Dedecms系统，可见是事先整理好了使用Dedecms系统的网站列表，进行针对性的攻击。推测由于其网站列表数据更新比较慢的原因，导致有20%的站点为无效攻击。

第六款攻击工具，攻击者使用网络请求数据包头中的User-Agent值为python-requests，可见攻击者是采用python语言进行研制的攻 击工具。攻击者IP地址来源位于西安电子科技大学和韩国，其攻击目标100%皆为Dedecms系统，很明显攻击之前有过踩点行为。

第六天

6月12号，又监控到两款新的攻击工具，并且之前出现的所有攻击工具在这一天均有进行攻击行为。