全球逾 51.1 万台停止更新的微软 IIS 服务器暴露在互联网上

网络攻击者如同数字空间的猎手，持续扫描着互联网的每一处暴露面，精准锁定那些未及时修补的系统。他们熟练利用已知的安全漏洞，或部署恶意代码，或建立入侵企业内网的初始据点，其手法高效且目标明确。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

过时系统构成重大攻击面

2026年3月23日，Shadowserver基金会的一次常规扫描揭示了一个严峻现实：全球仍有超过51.1万台已终止支持（EOL）的微软IIS服务器直接暴露在互联网上。这个庞大的数字并非抽象统计，它代表着一个广泛存在且极易被利用的攻击界面。由于无法获得标准安全更新，这些“数字遗迹”正持续为全球各类组织带来切实且严重的安全威胁。

攻击者不断探测网络，专门寻找缺乏补丁的基础设施，利用公开漏洞植入恶意软件或开辟进入企业网络的通道。

51.1万台IIS服务器现状分析

Shadowserver披露的数据，清晰勾勒出全球互联网基础设施中潜藏的风险轮廓。在这51.1万台暴露的EOL实例中，超过22.7万台已彻底超出微软扩展安全更新（ESU）计划的覆盖范围。这直接意味着，近半数服务器处于“完全无支持”状态，即使组织愿意支付额外费用，也无法获取官方的关键安全修复。

从地理分布分析，中国和美国承载了最大数量的过时IIS实例。为协助安全团队高效定位这些风险资产，Shadowserver已在其每日发布的“脆弱HTTP报告”中，将相关服务器明确标注为‘eol-iis’和‘eos-iis’类别，这为风险资产清查与处置提供了直接的行动依据。

终止支持设备的安全隐患

运行EOL或EOS的网络服务器，会急剧放大组织遭遇网络攻击的概率，这是经过反复验证的安全准则。当软件生命周期正式终结，供应商便会停止对其安全漏洞的跟踪与修复。设想旧版IIS出现一个零日漏洞，微软不会提供官方补丁。而威胁行为者对此极为清楚，他们正积极开发自动化工具，专门瞄准这些被遗弃的遗留系统进行攻击。

美国网络安全和基础设施安全局（CISA）屡次警告终止支持设备所带来的高危风险。暴露在外的Web服务器，通常是勒索软件团伙和APT（高级持续性威胁）组织首选的攻击跳板。一旦攻击者成功攻陷一台对外服务的IIS服务器，便能以此为桥头堡，进行横向移动、渗透内部网络、窃取敏感数据，或在基础设施中部署恶意载荷，其连锁后果极具破坏性。

风险缓解措施

面对如此明确的风险，组织必须将识别并加固其互联网暴露面列为优先安全事项。安全团队应立即采取以下几项核心措施：

首先，全面清查外部网络资产，准确识别所有仍在运行旧版IIS的服务器。其次，主动订阅并核查Shadowserver的脆弱HTTP报告，快速定位与自身相关的暴露IP地址。紧接着，核心行动是制定计划，将这些EOL服务器升级至受支持的Windows Server及IIS现代版本。若因兼容性等问题无法立即升级，则必须为系统注册微软的扩展安全更新计划以获取临时保护。最后，应通过部署并严格配置Web应用防火墙来隔离遗留系统，限制其仅允许必要的业务流量访问，为无法立即淘汰的系统构建一道坚实的防护层。