现在网络上，每天都有大量的机器人、蜘蛛爬虫在爬行你的网站及各种应用（如OA、ERP、APP后台、小程序后台等在公网开放服务的系统），其中有很多是恶意扫描，由网络黑客编写的自动化脚本，对整个网络进行批量扫描，寻找易攻击的目标。

常见的黑客批量恶意扫描方式有：
1.扫描后台管理登录页面，比如不断的扫描诸如admin、manager、web、xxx等常用后台管理文件和目录。一旦扫描到，黑客就会尝试进行弱口令爆破（就是猜密码）。
2.扫描常见漏洞，批量扫描常见程序的漏洞，这些漏洞网上可查，如一些使用人群较多的cms系统，对于未即时系统更新、未进行安全防范、安全更新的系统，很容易被检测，一旦存在这些漏洞，黑客就会利用这些漏洞入侵系统。
3.扫描敏感文件或目录，如常见的备份文件（.bak）、配置文件（.git）、数据库文件（.sql）等，这些文件可能泄露敏感信息。

黑客批量扫描的目的是什么？
进行批量扫描的网络机器人/蜘蛛爬虫是由黑客释放的，他们并非针对某个特定站点，而是针对全网进行扫描，说白了就是猜，就是蒙，总会遇到一些存在安全漏洞的网站和应用系统。一旦发现这些网站，就会进行破解和入侵，然后进行木马植入，以便控制你的网站/应用。

有的人就会问了，我的网站没什么访问量，没什么数据和价值，他就是入侵了又有什么用呢？其实，黑客并不在意你的网站是否有价值，他们入侵和控制你的网站，有以下几个目的：
1.植入木马，在你的网站上展示黑产广告（如色情、博彩、游戏等非法内容）。
2.修改数据，让访问你网站的人下载包含有病毒代码的文件。
3.通过你的网站发送恶意邮件。
4.控制你的网站服务器，让你的服务器作为肉鸡，允许黑客远程执行命令、访问文件、窃取数据，甚至完全控制这台计算机，用于进行各种恶意活动。（比如黑客人在柬埔寨，你的服务器在杭州，黑客通过你的服务器进行恶意活动后，公安检测到的痕迹就是杭州的）。
5.数字货币挖矿，用你服务器的计算能力来秘密挖掘加密货币（如比特币），消耗肉鸡的CPU/GPU资源和电力，而收益归黑客所有。
6.窃取和售卖信息。获取你网站上的用户和订单等包含隐私数据的信息，出售给黑产行业进行犯罪违法活动。
7.勒索软件传播，网站被用来传播勒索软件，加密受害者的文件并索要赎金。

基于以上信息，作为网站/应用系统的运维人员，需要对程序的核心文件/目录进行安全防范。
具体的措施有：
1.对于网站/应用目录，不要使用常见的文件名，如admin、webmaster、manager、backend、cp、wp-admin、administrator、user等。
2.对于核心文件和目录，建议使用较复杂的文件名，如后台管理目录，可以设置为16位的“英文字母小写+英文字母大写+数字+特殊符号”的格式组合，如"l@Vp9_#KX&F@v9Hj"、"(ezXU6yk*M4$1@C&"、"9IR@m%^C3inxuB~s"等。这种命名可以有效的防范黑客恶意扫描，让他们猜去吧，累死他们。
3.网站备份文件（程序备份+数据库备份），不要存放在网站根目录，建议放在网站根目录外的其他目录（最好是专用的备份数据磁盘）。
4.网站根目录内，不要保留除程序外的任何文件，如.bak文件、.sql文件、.zip文件等。
5.网站入口文件，如index.php、index.asp文件名进行修改（参考上述第2条）。
6.在网站和系统建立访问记录日志功能，凡是涉及敏感目录，记录IP和访客信息，可将该IP在云服务器访问限制中拉入黑名单，永世不得再次访问你的网站。同时如果涉及到入侵行为，造成严重后果的，保留对该IP进行追踪、分析、以及公安取证的权责。
7.服务器只保留80和443端口，关闭其他一切端口。
8.可选购第三方安全行为检测、云盾、安全防护等服务。

全文总结
目前网络安全态势复杂，安全形势严峻，基于黑产行业的网络黑客恶意行为越发猖獗。如何有效保护网络资产是每一个IT运维人员都要必备的核心能力之一，需要通过技术防御、流程规范、风险管控的闭环体系，抵御网络攻击、数据泄露、系统故障等威胁。关于网络安全防范的具体方法和措施有很多，也是一门很深的专业学问。本文旨在介绍关于网站核心文件/目录命名安全保护防范的相关内容，如果你的网站和应用也遇到了这种恶意扫描，欢迎联系丁老师进行咨询和交流。