山东省高校安全态势20260525-20260531-山东教育和科研计算机网

山东省高校安全态势20260525-20260531

发布时间：2026-06-01 编辑：李素芳来源：

前言

基于教育行业⽹络安全状况的脆弱性以及被攻击威胁的严重性，各个⾼校开始越来越重视⽹络安全⽅⾯的问题。为全面反映我省教育网络安全状况，推动全省高等教育网信工作发展，我公司对山东省教育行业进行实时威胁监测，每周评估当前山东省教育行业安全风险态势，定时推送，供大家参考。

教育网告警趋势

2026年05月25日至2026年05月31日内告警产生情况，高危告警7369424条、中危告警5184244条、低危告警3405382条。

其中，IPv4告警占比 91.99% ， IPv6告警占比 8.01% 。IPv4告警数量为 14681113 条，高危告警 6625920 条，中危告警 5156793 条，低危告警 2898400 条； IPv6告警数量为 1277937 条，高危告警 743504 条、中危告警 27451 条、低危告警 506982 条。

教育网VPN翻墙告警趋势

下图为VPN翻墙告警趋势图，监测网络出口流量，发现多起疑似VPN翻墙的异常访问行为。

教育网流量协议占比

下图为告警流量协议占比统计，其中http协议占比46.97%、dns协议占比46.41%、icmp协议占比3.83%、tls协议占比1.73%。根据流量协议占比分析，其中的僵木蠕、恶意流量通信、高危端口账号密码暴力破解、web漏洞攻击告警数量比较多。

告警类型TOP10

如下是告警类型及其对应的告警次数的列表。根据告警类型分析，可发现网络环境中存在大量扫描器扫描行为以及常规WEB攻击行为。

告警类型	告警次数
`僵木蠕`	3948821
`设备漏洞`	1829855
`扫描器指纹`	1322975
`敏感信息泄露`	1147916
`服务扫描`	995535
`远程代码执行`	949470
`挖矿软件`	927999
`命令注入`	602872
`路径遍历`	575688
`SQL注入`	551323

WEB攻击类型TOP10

如下是关于WEB攻击类型、攻击次数、受害者数量和攻击者数量的相应排序列表。通过这几个维度的参数值排序，可获知大量的攻击者重点使用的WEB攻击类型。

WEB攻击类型	攻击次数	受害者数量	攻击者数量
`检测到读取敏感文件(/etc/passwd)`	508822	5922	674
`通用目录遍历(../_URL)`	316193	447	412
`PHP代码执行攻击(md5)`	225232	422	199
`Laravel .env配置文件泄露漏洞(CVE-2017-16894)`	189863	6574	2239
`跨站脚本攻击(攻击XSS代码)`	131551	978	695
`通用任意文件读取`	128370	1221	991
`SQL注入攻击(攻击SQL语句)`	104581	93	233
`Apache Struts 2远程命令执行漏洞S2-033(CVE-2016-3087)`	102020	151	73
`Apache HTTP Server 2.4.49 路径穿越漏洞 (CVE-2021-41773)`	95734	6267	1036
`Linux Shell命令执行攻击`	92342	4374	17014

攻击者TOP10

如下是一个关于攻击者、攻击次数、受害者数量和攻击类型的相应排序列表。通过这几个维度的参数值排序，可获知频繁攻击的攻击者所攻击的网站数量及攻击类型数量。

攻击者	攻击次数	受害者数量	攻击类型数量
`111.203.201.51`	1781096	433	1737
`124.198.131.22`	942644	515762	8
`42.247.33.215`	454545	8	89
`185.226.93.120`	248781	247051	3
`185.18.221.117`	223339	9	908
`185.18.221.141`	151143	9	1374
`85.239.151.41`	141670	103004	6
`87.242.100.61`	140847	129666	2
`185.18.221.169`	117852	9	1375
`185.18.221.26`	98784	8	1377

疑似VPN翻墙行为TOP10

如下是疑似VPN翻墙行为TOP10统计列表，汇总网络出口流量中触发次数最多的10个恶意IP。

违规代理服务器IP	触发次数
`108.162.198.60`	72
`85.211.247.163`	70
`203.156.251.217`	49
`85.211.243.139`	47
`104.18.126.69`	33
`103.181.165.123`	27
`13.115.220.164`	25
`14.23.28.4`	21
`175.29.22.246`	19
`14.23.28.2`	13

恶意域名TOP10

如下是恶意域名TOP10统计列表，汇总网络内触发攻击次数最多的10个恶意域名。更多恶意域名请点击文末“阅读原文”查看恶意域名列表。

恶意域名	攻击次数	受害者数量
`botnet.minebeo.fun`	350690	1
`usduwe.net`	349799	1
`server.ntminer.top`	349139	1
`sshd.botnet.vip`	267228	1
`hn1.uuulailailai.com`	198491	7
`donate.v2.xmrig.com`	123907	12
`donate.ssl.xmrig.com`	122540	13
`coco.miniast.com`	113739	1
`427176cm.nyashkoon.in`	92308	2
`oeihefoeaboeubfuo.ru`	91642	2

恶意攻击来源-境外国家TOP10（WEB漏洞攻击）

如下是恶意攻击来源TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源国家。

国家名称	攻击次数
`美国`	1334690
`荷兰`	696449
`新加坡`	337616
`日本`	153438
`西班牙`	110866
`菲律宾`	93422
`德国`	89084
`比利时`	88706
`加拿大`	84305
`英国`	77696

恶意攻击来源-地区TOP10（WEB漏洞攻击）

如下是恶意攻击来源地区TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源地区。

地区名称	攻击次数
`北京`	2676733
`新加坡-Singapore`	332540
`日本-东京都-Tokyo`	152788
`江苏-苏州`	117733
`美国-德克萨斯州-San Antonio`	113487
`河北-张家口`	106081
`美国-德克萨斯州-Richardson`	101468
`浙江-杭州`	101232
`香港`	93754
`美国-乔治亚州-Atlanta`	91134

全球网络攻击源国家分布图

省内受攻击资产地理分布图

国内网络攻击源省份分布图

国内网络攻击源城市分布图

上一篇：山东省高校安全态势20260601-20260607

下一篇：山东省高校安全态势20260518-20260524