攻击者持续扫描互联网寻找未打补丁的基础设施，利用已知漏洞部署恶意软件或建立入侵企业网络的初始通道。

过时系统构成重大攻击面

2026年3月23日，Shadowserver基金会在例行网络扫描中发现超过51.1万台已终止支持（EOL）的微软Internet Information Services（IIS）服务器仍保持互联网连接。这些过时系统形成了巨大的攻击面，由于不再接收标准安全更新，给全球组织机构带来严重安全风险。

攻击者持续扫描互联网寻找未打补丁的基础设施，利用已知漏洞部署恶意软件或建立入侵企业网络的初始通道。

51.1万台IIS服务器现状分析

Shadowserver共享的数据揭示了全球互联网基础设施的严峻现状：在51.1万台暴露的EOL实例中，超过22.7万台已完全超出微软扩展安全更新（ESU）计划覆盖范围。这意味着近半数服务器处于完全终止支持（EOS）状态，即使付费也无法获得关键安全补丁。

从地域分布看，中国和美国集中了最大数量的过时IIS实例。为协助安全团队追踪风险资产，Shadowserver已在其每日发布的"脆弱HTTP报告"中将相关服务器标记为'eol-iis'和'eos-iis'两类。

终端支持设备的安全隐患

运行EOL/EOS网络服务器会显著增加机构遭受网络攻击的风险。当软件生命周期结束时，厂商将正式停止对其安全漏洞的监控。若旧版IIS出现0Day漏洞，微软不会发布公开补丁。威胁分子深谙此道，正积极开发自动化工具专门针对这些遗留系统。

美国网络安全和基础设施安全局（CISA）多次警告终端支持设备带来的严重风险。暴露的Web服务器往往成为勒索软件运营者和APT（高级持续性威胁）组织理想的攻击跳板。攻击者一旦入侵面向外网的IIS服务器，就能横向渗透内网、窃取敏感数据或在基础设施中部署恶意负载。

风险缓解措施

机构必须优先识别并加固其互联网暴露面，建议安全团队采取以下关键措施：