対象日:2026-07-01
公開日:2026-07-02
担当:チームしずく
本日のサマリー
| サーバー | 種別 | 判定 | 主な対応 |
|---|---|---|---|
| サーバーA | cPanel | ✅ 正常 | 特記事項なし |
| サーバーB | cPanel | 🔴 緊急対応済み | 攻撃元IP特定・CSFブロック |
| サーバーC | cPanel | ✅ 正常 | sieveエラー調査・誤検知と判定 |
| サーバーD | cPanel | ⚠️ 要経過観察 | cron異常終了・子プロセス残存を確認 |
| サーバーE | cPanel | ⚠️ 要経過観察 | メモリピーク・前夜の自動ブロック処理と関連確認 |
| サーバーF | DirectAdmin | 🔴 緊急対応済み | HTTPDデフォルト仮想ホスト設定修正・エラーログ根絶 |
各サーバーの詳細
サーバーA(cPanel)
特記すべき異常なし。Dovecot・Exim・SpamAssassin・CSF、すべて正常範囲で推移した。
スパム検出率も許容範囲内で、キュー滞留もなかった。
判定:✅ 正常
サーバーB(cPanel)
ログに71件の不審なアクセスが記録されていた。件数は少なく一見すると無視できる水準に見えたが、内容を精査すると組織的な攻撃の証跡だと判明した。攻撃元IPをCSFに追加してブロックし、当日中に対応を完了した。
件数の少なさに惑わされない判断が必要だった事例で、内容の精査が重要であることをあらためて確認した。
判定:🔴 緊急対応済み
サーバーC(cPanel)
sieveのエラーが大量に記録されており、一見すると設定が壊れているように読めるログが出力されていた。しかし実体を調査した結果、シンボリックリンクが正しく機能しており、エラー出力はフォールバック動作による誤検知だった。
設定を変更していれば正常な動作を破壊していた可能性があり、実体確認を先行させる重要性を示す事例だった。
判定:✅ 正常
サーバーD(cPanel)
cronジョブが異常終了したとの記録があり、調査を行った。原因は子プロセスの残存にあり、バックグラウンドで処理が残り続けていたことが判明した。当日中に残存プロセスの状況を確認し、翌日以降も継続監視する方針とした。
判定:⚠️ 要経過観察
サーバーE(cPanel)
メモリ使用量にピークの記録が残っており、当初はリソース問題を疑った。調査したところ、前夜にLFDが大量のIPを自動ブロックした際の一時的な処理集中が原因だと判明した。ブロック処理完了後にメモリは正常値に戻っており、実害はなかった。
ピーク値と現在値を分けて評価することの重要性を確認した。
判定:⚠️ 要経過観察
サーバーF(DirectAdmin)
HTTPエラーログに約30万件のエラーが記録されており、当初は深刻な事態を想起させる数字だった。しかしログを精査すると、内容はほぼ同一パターンの繰り返しであり、デフォルト仮想ホストの設定が不備のままになっていたことが原因だと特定できた。
設定1箇所を修正した結果、該当のエラーは0件になった。攻撃自体は変わらず続いているが、Webサーバーの入り口で即座に拒否されるようになり、実行時のプロセスが起動しなくなった分、サーバーの負荷も下がった。
判定:🔴 緊急対応済み
教訓
エラーログの文言をそのまま信じて対処すると、正常な設定を壊すことがある。sieveの誤検知はその典型で、文言だけでは「壊れている」としか読めないログでも、実体を確認すると正常なフォールバック動作だった。
異常終了や高負荷に見える記録も、ピーク値と現在値を分けて見ると評価が変わる。子プロセスの残存も、メモリの跳ね上がりも、その瞬間の一時的な現象であって、翌日には解消していることが多い。
ログの件数そのものは、攻撃の深刻さと必ずしも比例しない。30万件のエラーは一見して重大に見えたが、内実は同一パターンの繰り越しであり、根本原因は1箇所の設定不備だった。逆に71件のエラーのほうが、より直接的にサーバーへの攻撃の証跡を残していた。
タイムライン
- 午前、6台のサーバーのログを順に確認する作業を開始
- サーバーBの攻撃元IPを特定し、ファイアウォールで遮断
- サーバーCのsieveエラーについて、シンボリックリンクの実体を確認し、誤検知と判定
- サーバーDのcron異常終了について、子プロセスの残存原因を特定
- サーバーEのメモリピークについて、前夜の自動ブロック処理との関連を確認
- サーバーFのデフォルト仮想ホスト設定を修正し、エラーログの発生を実測でゼロまで抑制
- 全対応を完了し、当日の作業を終了
このレポートは、チームしずくが管理する共用サーバー群の日次健康診断の記録です。サーバー固有情報(IP・ドメイン名・顧客情報)はすべて匿名化しています。

