山东省高校安全态势20260608-20260614-山东教育和科研计算机网

山东省高校安全态势20260608-20260614

发布时间：2026-06-16 编辑：李素芳来源：

前言

基于教育行业⽹络安全状况的脆弱性以及被攻击威胁的严重性，各个⾼校开始越来越重视⽹络安全⽅⾯的问题。为全面反映我省教育网络安全状况，推动全省高等教育网信工作发展，我公司对山东省教育行业进行实时威胁监测，每周评估当前山东省教育行业安全风险态势，定时推送，供大家参考。

教育网告警趋势

2026年06月08日至2026年06月14日内告警产生情况，高危告警9393774条、中危告警6233761条、低危告警3464213条。

其中，IPv4告警占比 92.62% ， IPv6告警占比 7.38% 。IPv4告警数量为 17683619 条，高危告警 8656660 条，中危告警 6191080 条，低危告警 2835879 条； IPv6告警数量为 1408129 条，高危告警 737114 条、中危告警 42681 条、低危告警 628334 条。

教育网VPN翻墙告警趋势

下图为VPN翻墙告警趋势图，监测网络出口流量，发现多起疑似VPN翻墙的异常访问行为。

教育网流量协议占比

下图为告警流量协议占比统计，其中http协议占比58.59%、dns协议占比35.80%、icmp协议占比3.23%、tls协议占比1.29%。根据流量协议占比分析，其中的僵木蠕、恶意流量通信、高危端口账号密码暴力破解、web漏洞攻击告警数量比较多。

告警类型TOP10

如下是告警类型及其对应的告警次数的列表。根据告警类型分析，可发现网络环境中存在大量扫描器扫描行为以及常规WEB攻击行为。

告警类型	告警次数
`僵木蠕`	5308715
`敏感信息泄露`	2706913
`路径遍历`	1733460
`扫描器指纹`	1424460
`远程代码执行`	988932
`挖矿软件`	804842
`服务扫描`	711148
`SQL注入`	639598
`命令注入`	534220
`XSS攻击`	433078

WEB攻击类型TOP10

如下是关于WEB攻击类型、攻击次数、受害者数量和攻击者数量的相应排序列表。通过这几个维度的参数值排序，可获知大量的攻击者重点使用的WEB攻击类型。

WEB攻击类型	攻击次数	受害者数量	攻击者数量
`检测到读取敏感文件(/etc/passwd)`	1478269	1420	1737
`通用目录遍历(../_URL)`	978216	830	931
`通用任意文件读取`	292229	1849	1233
`跨站脚本攻击(攻击XSS代码)`	272561	897	691
`PHP代码执行攻击(md5)`	234668	626	858
`Laravel .env配置文件泄露漏洞(CVE-2017-16894)`	213500	6685	3409
`检测到敏感文件探测(ini系统文件)`	169477	403	862
`检测到webshell后门访问(疑似)`	150851	362	989
`通用XSS攻击`	133095	442	229
`Apache HTTP Server 2.4.49 路径穿越漏洞 (CVE-2021-41773)`	108950	6444	915

攻击者TOP10

如下是一个关于攻击者、攻击次数、受害者数量和攻击类型的相应排序列表。通过这几个维度的参数值排序，可获知频繁攻击的攻击者所攻击的网站数量及攻击类型数量。

攻击者	攻击次数	受害者数量	攻击类型数量
`111.203.201.51`	1943655	236	1707
`185.18.221.117`	1170211	14	1429
`185.18.221.26`	1160362	13	1408
`185.18.221.169`	1017191	12	1404
`185.18.221.141`	711614	8	1406
`183.129.153.151`	386359	22	518
`122.228.19.58`	102292	3	2
`39.144.172.169`	77009	1	865
`2408:8606:4800:4:C600:ADFF:FEB5:F392`	76094	31	1593
`176.65.148.93`	59978	56264	4

疑似VPN翻墙行为TOP10

如下是疑似VPN翻墙行为TOP10统计列表，汇总网络出口流量中触发次数最多的10个恶意IP。

违规代理服务器IP	攻击次数
`172.64.146.215`	8861
`103.181.165.104`	4996
`103.181.165.123`	4547
`103.181.165.105`	4003
`103.181.164.146`	3813
`85.211.242.74`	3768
`172.197.170.40`	3663
`104.16.248.249`	3653
`59.24.3.174`	3419
`103.181.165.120`	3324

恶意域名TOP10

如下是恶意域名TOP10统计列表，汇总网络内触发攻击次数最多的10个恶意域名。更多恶意域名请点击文末“阅读原文”查看恶意域名列表。

恶意域名	攻击次数	受害者数量
`botnet.minebeo.fun`	338550	1
`usduwe.net`	338308	1
`server.ntminer.top`	218088	1
`hn1.uuulailailai.com`	198305	9
`coco.miniast.com`	112704	1
`szhuandxiaomuma-yandi.com`	98790	1
`visionproxy.cc`	92725	3
`guddimirai.duckdns.org`	90489	2
`oeihefoeaboeubfuo.ru`	88410	2
`fox.weilders.com`	87537	1

恶意攻击来源-境外国家TOP10（WEB漏洞攻击）

如下是恶意攻击来源TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源国家。

国家名称	攻击次数
`荷兰`	4219961
`美国`	1197151
`日本`	165090
`新加坡`	156099
`英国`	131322
`德国`	123586
`加拿大`	58938
`保加利亚`	51625
`西班牙`	41253
`巴西`	38955

恶意攻击来源-地区TOP10（WEB漏洞攻击）

如下是恶意攻击来源地区TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源地区。

地区名称	攻击次数
`北京`	2303354
`浙江-杭州`	548400
`日本-东京都-Tokyo`	164430
`新加坡-Singapore`	151999
`河北-张家口`	124018
`江苏-苏州`	115777
`美国-德克萨斯州-San Antonio`	106888
`浙江-温州`	102729
`美国-德克萨斯州-Richardson`	101994
`香港`	101018

全球网络攻击源国家分布图

省内受攻击资产地理分布图

国内网络攻击源省份分布图

国内网络攻击源城市分布图

下一篇：山东省高校安全态势20260601-20260607