山东省高校安全态势20260601-20260607-山东教育和科研计算机网

山东省高校安全态势20260601-20260607

发布时间：2026-06-08 编辑：李素芳来源：

前言

基于教育行业⽹络安全状况的脆弱性以及被攻击威胁的严重性，各个⾼校开始越来越重视⽹络安全⽅⾯的问题。为全面反映我省教育网络安全状况，推动全省高等教育网信工作发展，我公司对山东省教育行业进行实时威胁监测，每周评估当前山东省教育行业安全风险态势，定时推送，供大家参考。

教育网告警趋势

2026年06月01日至2026年06月07日内告警产生情况，高危告警8037515条、中危告警3732491条、低危告警3746320条。

其中，IPv4告警占比 89.32% ， IPv6告警占比 10.68% 。IPv4告警数量为 13858414 条，高危告警 7185016 条，中危告警 3581398 条，低危告警 3092000 条； IPv6告警数量为 1657912 条，高危告警 852499 条、中危告警 151093 条、低危告警 654320 条。

教育网VPN翻墙告警趋势

下图为VPN翻墙告警趋势图，监测网络出口流量，发现多起疑似VPN翻墙的异常访问行为。

教育网流量协议占比

下图为告警流量协议占比统计，其中http协议占比53.94%、dns协议占比38.85%、icmp协议占比4.25%、tls协议占比1.84%。根据流量协议占比分析，其中的僵木蠕、恶意流量通信、高危端口账号密码暴力破解、web漏洞攻击告警数量比较多。

告警类型TOP10

如下是告警类型及其对应的告警次数的列表。根据告警类型分析，可发现网络环境中存在大量扫描器扫描行为以及常规WEB攻击行为。

告警类型	告警次数
`僵木蠕`	4008864
`设备漏洞`	1583236
`扫描器指纹`	1496284
`敏感信息泄露`	1057477
`命令注入`	993607
`服务扫描`	889338
`挖矿软件`	757016
`远程代码执行`	756150
`SQL注入`	446884
`路径遍历`	436472

WEB攻击类型TOP10

如下是关于WEB攻击类型、攻击次数、受害者数量和攻击者数量的相应排序列表。通过这几个维度的参数值排序，可获知大量的攻击者重点使用的WEB攻击类型。

WEB攻击类型	攻击次数	受害者数量	攻击者数量
`检测到读取敏感文件(/etc/passwd)`	317040	4475	972
`检测到命令执行(sh /tmp)`	314289	6544	36438
`Linux Shell命令执行攻击`	296126	4399	39876
`PHP代码执行攻击(md5)`	212203	933	1014
`Laravel .env配置文件泄露漏洞(CVE-2017-16894)`	192346	6710	5483
`通用目录遍历(../_URL)`	174596	769	795
`Apache HTTP Server 2.4.49 路径穿越漏洞 (CVE-2021-41773)`	101003	6480	948
`检测到系统命令注入攻击(curl)`	89916	4378	863
`PHP代码执行攻击`	84805	4747	897
`检测到敏感文件探测(ini系统文件)`	82868	367	317

攻击者TOP10

如下是一个关于攻击者、攻击次数、受害者数量和攻击类型的相应排序列表。通过这几个维度的参数值排序，可获知频繁攻击的攻击者所攻击的网站数量及攻击类型数量。

攻击者	攻击次数	受害者数量	攻击类型数量
`111.203.201.51`	1665975	224	1695
`85.239.151.41`	661749	447759	6
`2408:8606:4800:4:C600:ADFF:FEB5:F392`	270859	31	1558
`87.242.100.61`	212781	192628	2
`222.134.43.132`	138306	10	833
`103.73.161.209`	96694	29	153
`156.226.92.2`	90960	4	37
`122.228.19.58`	69600	3	2
`222.211.150.172`	48666	11	92
`176.65.148.93`	33752	32893	4

疑似VPN翻墙行为TOP10

如下是疑似VPN翻墙行为TOP10统计列表，汇总网络出口流量中触发次数最多的10个恶意IP。

违规代理服务器IP	攻击次数
`104.18.126.69`	56
`206.206.82.207`	27
`203.156.251.217`	26
`206.206.82.203`	18
`85.211.247.163`	17
`175.29.22.246`	16
`14.23.28.2`	15
`14.23.28.4`	15
`108.162.198.60`	14
`103.181.165.123`	14

恶意域名TOP10

如下是恶意域名TOP10统计列表，汇总网络内触发攻击次数最多的10个恶意域名。更多恶意域名请点击文末“阅读原文”查看恶意域名列表。

恶意域名	攻击次数	受害者数量
`usduwe.net`	345733	2
`botnet.minebeo.fun`	344619	1
`hn1.uuulailailai.com`	227429	10
`server.ntminer.top`	199030	1
`szhuandxiaomuma-yandi.com`	154820	2
`coco.miniast.com`	113129	1
`oeihefoeaboeubfuo.ru`	90170	2
`guddimirai.duckdns.org`	89249	2
`reader.pamphler.com`	89229	1
`fox.weilders.com`	89138	1

恶意攻击来源-境外国家TOP10（WEB漏洞攻击）

如下是恶意攻击来源TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源国家。

国家名称	攻击次数
`美国`	1453746
`新加坡`	364034
`菲律宾`	176206
`日本`	168274
`德国`	118834
`英国`	110225
`荷兰`	104568
`比利时`	83745
`印度尼西亚`	78116
`巴西`	68471

恶意攻击来源-地区TOP10（WEB漏洞攻击）

如下是恶意攻击来源地区TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源地区。

地区名称	攻击次数
`中国-北京`	2209320
`新加坡-Singapore`	359861
`中国-香港-中国香港`	308129
`中国-浙江-杭州`	192318
`日本-东京都-Tokyo`	166145
`中国-山东-滨州`	127298
`中国-江苏-苏州`	115005
`美国-德克萨斯州-San Antonio`	111171
`中国-上海`	108848
`美国-德克萨斯州-Richardson`	104236

全球网络攻击源国家分布图

省内受攻击资产地理分布图

国内网络攻击源省份分布图

国内网络攻击源城市分布图

下一篇：山东省高校安全态势20260525-20260531