其中，第五款攻击工具，今天攻击目标是Dedecms系统的比例为100%，较上一次更为精准。

第六款攻击工具，使用者来源IP地址仍然为西安电子科技大学和韩国，推测该攻击工具仅为一人研制一人使用，且手中拥有多个韩国肉鸡。

第七天

6月13号，再次出现新的攻击工具，并且之前出现的所有工具在这一天均有发现攻击行为。

其中有一款新的攻击工具，通过修改攻击请求数据包中的User-Agent值，企图伪装成google扫描器，但是攻击工具的IP地址来源并不是google。

从漏洞被披露的当天开始，7天时间内，共出现了10款攻击工具。攻击来源IP地址共368个，先后对705个网站发起了1613次攻击行为。

通过对攻击数据的统计和关联分析，SCANV网站安全中心总结了一些行为规律：

1、漏洞被披露当天就实施攻击的攻击者，均采用人工手动攻击。因为在当天，针对该漏洞特制的工具尚未研制成功。但仅在第二天，特制的工具就已经出现。说明，攻击者从漏洞被披露到工具研制，仅需一天时间。

2、从一款工具的攻击来源IP地址和攻击频率，可以大致推断使用该工具的攻击者身份：IP地址来自同一个C段，且攻击频繁，可推测是某个团体组织；IP地址来 自于CDN节点或者网站地址，可推测是站点被黑后，被当作黑客的跳板机使用；IP地址来自于国内的某个IP或某个国家的IP、攻击频率低、攻击针对性强， 可推测是个体行为，且在某个国家具有多台肉鸡作为跳板机。

3、发起攻击请求越多的攻击者，攻击目标是Dedecms系统的比例越低，其针对性越差，推测是根据站点列表盲目攻击；而发起攻击请求越少的攻击者，攻击目标是Dedecms系统的比例就越高，推测是进行攻击之前有过踩点、或者手头有一份使用Dedecms系统的站点列表，这类型的攻击者最可怕。

4、在遭受攻击较多的网站中，使用Dedecms系统的比例远高于使用其他Web系统的网站。

(SCANV网站安全中心)