从我的大多数客户（通常是财富 100 强公司）来看，我可以说他们注意到的大多数攻击者（让我们排除在外围和 DMZ 丢弃的各种扫描和脚本小子攻击）非常有经验，拥有广泛的资源并且几乎遵循与白帽子相同的方法。

一个例子：

1. 发现 - 来自公共资源
2. 足迹 - 可以在大多数 IDS 的雷达之下
3. 漏洞扫描 - Web 应用程序、外围防御、邮件服务器等
4. Exploitation - 使用已识别的漏洞来瞄准或获得立足点
5. 升级 - 从用户转移到管理员/根访问，或从 DMZ 转移到内部网络
6. 嵌入——rootkit、后门等
7. 清理 - 隐藏日志文件等中的轨道

当然，这只是一个非常高级的示例，但它提供了一个想法。

根据我的经验，大多数攻击者随机选择网站。他们下载了一些“黑客工具”，输入一个 IP 范围并启动它。通常这样的工具包会利用软件（如 Wordpress、Joomla 等）中的特定错误。如果您不运行此类软件或者它不再易受攻击，他们会继续访问下一个站点。

但是，如果您的站点是某些有针对性的攻击的目标，那么攻击者将探索您的系统。他可能会扫描打开的端口以查看是否有一些易受攻击的软件，或者会尝试找出您运行的网站软件类型。在他找到它之后，他会为您的系统寻找一些漏洞并使用它。通常首先尝试最简单的方法。

新手会尝试一些他的标准软件，而专家会计划他的攻击。他试图收集尽可能多的信息。每一条信息都可以帮助他实现目标。

无论是通过机会主义攻击（有时被描述为 scriptkiddie hacking 还是其他方式），这都无关紧要，事实上，我发现这个词对我来说更像是一种诽谤尝试，而不是对攻击者的恰当描述。

攻击者无论他们声称支持哪种颜色的“帽子”......在深入挖掘之前都会先看看简单的方法。如果说网络服务器托管了 100 个网站，这些网站是 Joomla、Wordpress 和过时版本的 osCommerce 的混合体，为什么攻击者甚至会像上面的一些回复一样深入研究。

在这些过程中，将是上传 shell 代码/文件管理器的入口点的宝库，甚至升级到完全控制网络服务器的方式。

事实上，当今最流行的方法是大规模多级利用，其中永久服务器专门用于搜索像谷歌这样的搜索服务，查找易受攻击的站点，上传 shell 代码和附加后门代码，然后记录站点以供进一步利用。

这些“自动攻击”与单个攻击的“签名”没有太大区别，只是受害者站点通常更多地用于传播浏览器病毒或代理攻击其他易受攻击的网站，而不是刻板的黑客破坏.

新手……如果他们坚持学习网络安全，他们最终会成为专家。

许多个人攻击者从最简单的方法开始，即已知的 Web 脚本漏洞或未修补的服务器漏洞利用方法，因为这些通常是获取 Web 服务器访问权限的最快和最简单的方法，而且通常大多数攻击者不必走得更远。特别是在大多数共享网络服务器环境中。

正因为如此，那些被利用的人倾向于在发现他们的服务器是如何被利用的（即他们的错误在于没有保持他们的东西是最新的）时，然后将棍子指向所谓的“脚本- Kiddie”，而事实上这种类型的攻击只是最简单的，因此在逻辑上是第一个也是最常用的方法。

在没有容易获得的进入方法的情况下，Rory Aslop 在上面描述的大部分内容中会更加顽强，即“研磨”方法，这种方法更耗时，但在进入点的方式上往往收效甚微。

如果做不到这一点，某些类型（例如匿名类型）将转向 DDoS 锤式攻击以使网络服务器脱机或至少使其受到伤害（政治驱动的攻击者）。

甚至有一些攻击者不相信除了拒绝服务攻击之外的服务器利用，而另一方面，有些攻击者认为拒绝服务攻击是针对低智商的......

最后，这真的不是一个可以轻易回答的直截了当的问题，而且它的世界有时充满偏执和原教旨主义，真正要注意的是顽强的人，他们最初可能缺乏技术技能来完成某些事情，但如前所述，坚韧往往会推动技能提升。