山东省高校安全态势20260518-20260524-山东教育和科研计算机网

山东省高校安全态势20260518-20260524

发布时间：2026-05-25 编辑：李素芳来源：

前言

基于教育行业⽹络安全状况的脆弱性以及被攻击威胁的严重性，各个⾼校开始越来越重视⽹络安全⽅⾯的问题。为全面反映我省教育网络安全状况，推动全省高等教育网信工作发展，我公司对山东省教育行业进行实时威胁监测，每周评估当前山东省教育行业安全风险态势，定时推送，供大家参考。

教育网告警趋势

2026年05月18日至2026年05月24日内告警产生情况，高危告警5227298条、中危告警4758901条、低危告警3221665条。

其中，IPv4告警占比 93.60% ， IPv6告警占比 6.40% 。IPv4告警数量为 12362412 条，高危告警 4816711 条，中危告警 4733289 条，低危告警 2812412 条； IPv6告警数量为 845452 条，高危告警 410587 条、中危告警 25612 条、低危告警 409253 条。

教育网VPN翻墙告警趋势

下图为VPN翻墙告警趋势图，监测网络出口流量，发现多起疑似VPN翻墙的异常访问行为。

教育网流量协议占比

下图为告警流量协议占比统计，其中http协议占比46.58%、dns协议占比45.28%、icmp协议占比3.75%、tls协议占比2.64%。根据流量协议占比分析，其中的僵木蠕、恶意流量通信、高危端口账号密码暴力破解、web漏洞攻击告警数量比较多。

告警类型TOP10

如下是告警类型及其对应的告警次数的列表。根据告警类型分析，可发现网络环境中存在大量扫描器扫描行为以及常规WEB攻击行为。

告警类型	告警次数
`僵木蠕`	3059554
`设备漏洞`	2261535
`扫描器指纹`	1271961
`服务扫描`	1063935
`挖矿软件`	1006215
`敏感信息泄露`	629868
`远程代码执行`	518699
`Web扫描`	410602
`SQL注入`	324015
`远程控制`	295958

WEB攻击类型TOP10

如下是关于WEB攻击类型、攻击次数、受害者数量和攻击者数量的相应排序列表。通过这几个维度的参数值排序，可获知大量的攻击者重点使用的WEB攻击类型。

WEB攻击类型	攻击次数	受害者数量	攻击者数量
`Laravel .env配置文件泄露漏洞(CVE-2017-16894)`	212301	6919	1628
`检测到读取敏感文件(/etc/passwd)`	150796	4782	266
`PHP代码执行攻击(md5)`	135820	423	190
`通用目录遍历(../_URL)`	95307	646	286
`Apache HTTP Server 2.4.49 路径穿越漏洞 (CVE-2021-41773)`	88623	6265	910
`检测到系统命令注入攻击(curl)`	79862	4382	820
`PHP代码执行攻击`	78979	4802	872
`跨站脚本攻击(攻击XSS代码)`	77892	1196	433
`KindEditor html编辑器文件上传漏洞`	77127	590	12
`PHPUnit远程代码执行漏洞(CVE-2017-9841)`	61130	4423	743

攻击者TOP10

如下是一个关于攻击者、攻击次数、受害者数量和攻击类型的相应排序列表。通过这几个维度的参数值排序，可获知频繁攻击的攻击者所攻击的网站数量及攻击类型数量。

攻击者	攻击次数	受害者数量	攻击类型数量
`87.242.100.61`	942706	460346	2
`111.203.201.51`	862989	173	1646
`81.161.239.16`	706155	257063	5
`2.26.87.127`	281192	282715	2
`176.65.139.69`	187644	167918	2
`149.104.30.25`	117936	38	679
`114.66.27.152`	93740	12	891
`211.72.37.226`	69226	560	1
`176.65.139.61`	42249	41789	3
`61.162.223.117`	40104	14	1670

疑似VPN翻墙行为TOP10

如下是疑似VPN翻墙行为TOP10统计列表，汇总网络出口流量中触发次数最多的10个恶意IP。

违规代理服务器IP	触发次数
`175.29.22.246`	65
`172.64.146.60`	62
`203.156.251.217`	46
`85.211.247.163`	45
`108.162.198.60`	40
`104.18.126.69`	39
`85.211.243.139`	14
`180.188.47.45`	13
`14.102.231.207`	13
`52.192.50.188`	13

恶意域名TOP10

如下是恶意域名TOP10统计列表，汇总网络内触发攻击次数最多的10个恶意域名。更多恶意域名请点击文末“阅读原文”查看恶意域名列表。

恶意域名	攻击次数	受害者数量
`botnet.minebeo.fun`	335174	3
`usduwe.net`	333823	1
`server.ntminer.top`	332550	1
`coco.miniast.com`	118199	3
`sshd.botnet.vip`	110136	2
`oeihefoeaboeubfuo.ru`	87964	2
`fox.weilders.com`	86494	1
`427176cm.nyashkoon.in`	86368	1
`xmr.newaptip.ga`	86368	1
`guddimirai.duckdns.org`	86316	1

恶意攻击来源-境外国家TOP10（WEB漏洞攻击）

如下是恶意攻击来源TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源国家。

国家名称	攻击次数
`美国`	1365132
`新加坡`	361122
`日本`	160072
`德国`	115981
`比利时`	110472
`菲律宾`	103583
`英国`	85923
`摩尔多瓦`	71137
`加拿大`	70355
`荷兰`	56640

恶意攻击来源-地区TOP10（WEB漏洞攻击）

如下是恶意攻击来源地区TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源地区。

地区名称	攻击次数
`北京`	1111725
`新加坡-Singapore`	357065
`日本-东京都-Tokyo`	159750
`江苏-苏州`	152777
`河北-张家口`	104052
`菲律宾-马尼拉大都会-Manila`	103109
`中国-浙江-杭州`	99147
`美国-德克萨斯州-San Antonio`	97261
`美国-乔治亚州-Atlanta`	93612
`台湾-台北`	92024

全球网络攻击源国家分布图

省内受攻击资产地理分布图

国内网络攻击源省份分布图

国内网络攻击源城市分布图

下一篇：山东省高校安全态势20260511-20260517