山东省高校安全态势20260615-20260621-山东教育和科研计算机网

山东省高校安全态势20260615-20260621

发布时间：2026-06-22 编辑：李素芳来源：

前言

基于教育行业⽹络安全状况的脆弱性以及被攻击威胁的严重性，各个⾼校开始越来越重视⽹络安全⽅⾯的问题。为全面反映我省教育网络安全状况，推动全省高等教育网信工作发展，我公司对山东省教育行业进行实时威胁监测，每周评估当前山东省教育行业安全风险态势，定时推送，供大家参考。

教育网告警趋势

2026年06月15日至2026年06月21日内告警产生情况，高危告警6333942条、中危告警2780302条、低危告警3327010条。

其中，IPv4告警占比 82.41% ， IPv6告警占比 17.59% 。IPv4告警数量为 10252595 条，高危告警 5028905 条，中危告警 2766412 条，低危告警 2457278 条； IPv6告警数量为 2188659 条，高危告警 1305037 条、中危告警 13890 条、低危告警 869732 条。

教育网VPN翻墙告警趋势

下图为VPN翻墙告警趋势图，监测网络出口流量，发现多起疑似VPN翻墙的异常访问行为。

教育网流量协议占比

下图为告警流量协议占比统计，其中dns协议占比53.76%、http协议占比35.28%、icmp协议占比7.34%、tls协议占比1.74%。根据流量协议占比分析，其中的僵木蠕、恶意流量通信、高危端口账号密码暴力破解、web漏洞攻击告警数量比较多。

告警类型TOP10

如下是告警类型及其对应的告警次数的列表。根据告警类型分析，可发现网络环境中存在大量扫描器扫描行为以及常规WEB攻击行为。

告警类型	告警次数
`僵木蠕`	4214150
`敏感信息泄露`	1397086
`挖矿软件`	1199318
`扫描器指纹`	1167883
`服务扫描`	651726
`主机存活扫描`	573299
`远程控制`	381869
`设备漏洞`	366461
`Web扫描`	291206
`命令注入`	289590

WEB攻击类型TOP10

如下是关于WEB攻击类型、攻击次数、受害者数量和攻击者数量的相应排序列表。通过这几个维度的参数值排序，可获知大量的攻击者重点使用的WEB攻击类型。

WEB攻击类型	攻击次数	受害者数量	攻击者数量
`D-Link DCS系列监控账号密码信息泄露漏洞(CVE-2020-25078)`	357044	1187	129
`Laravel .env配置文件泄露漏洞(CVE-2017-16894)`	270605	6695	3764
`检测到读取敏感文件(/etc/passwd)`	214503	3939	732
`检测到敏感文件探测(ini系统文件)`	93071	197	157
`Apache HTTP Server 2.4.49 路径穿越漏洞 (CVE-2021-41773)`	85957	6331	696
`检测到系统命令注入攻击(curl)`	74081	4376	647
`PHP代码执行攻击`	68766	4675	806
`PHPUnit远程代码执行漏洞(CVE-2017-9841)`	65178	4586	594
`Linux Shell命令执行攻击`	61085	4378	10093
`检测到命令执行(sh /tmp)`		54087	6037

攻击者TOP10

如下是一个关于攻击者、攻击次数、受害者数量和攻击类型的相应排序列表。通过这几个维度的参数值排序，可获知频繁攻击的攻击者所攻击的网站数量及攻击类型数量。

攻击者	攻击次数	受害者数量	攻击类型数量
`103.73.161.240`	388117	42	121
`5.83.134.74`	121520	111985	4
`111.203.201.51`	97926	24	1570
`149.104.12.117`	97297	10	273
`165.211.23.157`	88600	103	5
`103.179.190.58`	41935	169	5
`172.179.142.153`	40259	488	5
`213.209.159.175`	38761	5390	5
`160.191.101.139`	37306	75	1
`66.42.40.173`	36482	1	63

疑似VPN翻墙行为TOP10

如下是疑似VPN翻墙行为TOP10统计列表，汇总网络出口流量中触发次数最多的10个恶意IP。

违规代理服务器IP	攻击次数
`38.123.109.244`	257
`95.213.56.1`	139
`43.159.108.167`	52
`5.161.218.66`	50
`95.213.56.3`	49
`87.240.132.67`	48
`87.240.190.70`	47
`93.186.237.6`	44
`87.240.129.140`	43
`87.240.137.130`	36

恶意域名TOP10

如下是恶意域名TOP10统计列表，汇总网络内触发攻击次数最多的10个恶意域名。更多恶意域名请点击文末“阅读原文”查看恶意域名列表。

恶意域名	攻击次数	受害者数量
`hn1.uuulailailai.com`	558379	8
`server.ntminer.top`	359388	1
`botnet.minebeo.fun`	359010	1
`usduwe.net`	350578	1
`fox.weilders.com`	335695	1
`weufks.net`	255041	2
`visionproxy.cc`	95015	2
`oeihefoeaboeubfuo.ru`	93252	2
`f4keu.7h4uk.com`	92917	1
`guddimirai.duckdns.org`	92807	1

恶意攻击来源-境外国家TOP10（WEB漏洞攻击）

如下是恶意攻击来源TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源国家。

国家名称	攻击次数
`美国`	1343282
`日本`	193670
`新加坡`	139147
`德国`	133314
`英国`	118989
`荷兰`	91512
`喀麦隆`	88597
`加拿大`	63523
`摩尔多瓦`	48599
`澳大利亚`	48485

恶意攻击来源-地区TOP10（WEB漏洞攻击）

如下是恶意攻击来源地区TOP10统计列表，汇总网络环境内触发攻击次数最多的10个恶意攻击IP来源地区。

地区名称	攻击次数
`香港`	713715
`北京`	322923
`日本-东京都-Tokyo`	190324
`浙江-杭州`	173463
`上海`	136085
`新加坡-Singapore`	134691
`河北-张家口`	120731
`美国-德克萨斯州-Richardson`	97725
`美国-乔治亚州-Atlanta`	95130
`喀麦隆-中部-Yaounde`	88597

全球网络攻击源国家分布图

省内受攻击资产地理分布图

国内网络攻击源省份分布图

国内网络攻击源城市分布图

下一篇：山东省高校安全态势20260608-20260614