51,100+ 即将淘汰的微软 IIS 实例在线暴露，立即加固！

一个涉及过时微软互联网信息服务（IIS）服务器的巨大攻击面。在 2026 年 3 月 23 日，Shadowserver 的日常网络扫描中，研究人员发现超过 511,000 个已结束生命周期的（EOL）IIS 实例正积极连接到互联网。

这种广泛的暴露对全球组织构成了严重的安全风险，因为这些过时的服务器不再接收标准的安全补丁。

攻击者经常扫描互联网，寻找未打补丁的基础设施，以利用已知漏洞、部署恶意软件或建立对企业网络的初始访问。

511,000+ IIS 已结束生命周期的实例

Shadowserver 分享的原始数据显示出全球互联网基础设施卫生状况令人担忧。在 511,000 个暴露的 EOL 实例中，超过 227,000 个已经完全完成了微软扩展安全更新（ESU）期。

这意味着这些服务器中将近一半已经达到支持结束（EOS），即使组织支付了扩展覆盖费用，也永远不会收到关键安全补丁。

从地域分布来看，暴露情况主要集中在两个主要全球区域。中国和美国目前托管了最多这些过时的 IIS 实例。

为了帮助安全团队追踪这些暴露情况，Shadowserver 现在在其每日易受攻击 HTTP 报告中正式将易受攻击的服务器标记为“eol-iis”和“eos-iis”。

网络管理员可以访问这些原始 IP 数据，并根据其特定的网络构成进行筛选，以识别其环境中的暴露资产。

运行即将淘汰和已到生命尽头的 Web 服务器会显著增加组织遭受网络攻击的脆弱性。当软件达到其生命周期结束时，供应商会正式停止监控其安全漏洞。

如果一个过时的 IIS 版本中发现新的零日漏洞，微软不会发布公共补丁来修复它。威胁行为者了解这种动态，并积极构建自动化工具来检测和利用这些特定的旧系统。

网络安全和基础设施安全局（CISA）一直警告与已停止支持的边缘设备相关的严重风险。

暴露的 Web 服务器通常是勒索软件操作者和高级持续性威胁（APT）组织完美的切入点。

一旦攻击者攻陷一个面向外部的 IIS 服务器，他们可以横向移动到内部网络，窃取敏感数据，或在更广泛的基础设施中部署恶意负载。

缓解措施

组织必须优先识别和保护其面向互联网的基础设施，以防止立即被利用。

安全团队应遵循以下关键步骤，有效减少攻击面：

• 审计外部网络资产，定位任何运行着微软 IIS 旧版本的服务器。
  
• 查看 Shadowserver 的易受攻击的 HTTP 报告，以识别与您的组织相关的暴露 IP 地址。
  
• 将 EOL 服务器升级到现代、受支持的 Windows Server 和 IIS 版本。
  
• 如果技术上有困难无法立即迁移，请将系统注册到微软的扩展安全更新计划。
  
• 将旧系统隔离在强大的 Web 应用防火墙之后，并仅限制访问必要的 IP 地址。