サーバーセキュリティ・パトロールレポート

Uncategorized

実施日:2026年7月9日 / 対象日:2026年7月8日


概要

7台のサーバー(cPanel × 5、DirectAdmin × 1、Ubuntu/Coolify × 1)を対象に logwatch ログのパトロールを実施した。重大なインシデントは確認されなかった。顧客起因のメール障害が1件あり、即日対応済み。

サーバー種別判定主な事項
cPanel AcPanel🟡 対応済み顧客メール設定不備(後述)
cPanel BcPanel🟢 経過観察特定アカウントへのスパム多め
cPanel CcPanel🟢 経過観察全体スパム率やや高め
cPanel DcPanel🟢 完了顧客メール設定ミス案内済み
cPanel EcPanel🟢 完了httpd探索試行は誤検知・実害なし
DirectAdminDirectAdmin🟢 完了定常ノイズのみ
管理サーバーUbuntu + Coolify🟢 完了異常なし

注目インシデント詳細

1. 顧客メール障害の誤認 → 即日解決

状況

あるサーバーの Dovecot ログに、特定ドメインのメールアカウント(info@ドメイン)への認証失敗が1日で80件以上記録されていた。接続元IPは単一のOCN固定回線であり、logwatch上では「大量認証攻撃」のように見えた。

調査経緯

  1. logwatch パトロールで異常を検知
  2. 接続元IPがCSFのブロックリストに入っていないことを確認
  3. 逆に CSFの許可リスト(csf.allow)に登録済み であることが判明。lfdが自動ブロックを試みるたびに「deny failed: IP is in the allow file」エラーが出ていた
  4. 顧客とのメールスレッドを照合し、同IPが 正規ユーザーの固定回線 であると特定
  5. 認証失敗の原因は「メールソフトに古いパスワードが残ったまま再試行し続けている」と判断

対応

顧客にウェブメールでの動作確認とパスワード再設定を案内。CSF設定の変更は不要と判断し、既存の許可リスト登録を維持した。

教訓

CSF許可リストに登録された固定回線IPからの認証失敗は、攻撃ではなく 顧客側のメール設定不備 である可能性を優先して確認する。ログだけで判断せず、顧客情報と照合するフローが有効だった。


2. httpd パストラバーサル探索 → 誤検知確認

状況

あるサーバーの logwatch が以下の2リクエストを「possible successful probe(攻撃成功の可能性)」として報告した。

/?path=../../../../../../var/www/html/wp-config.php  HTTP 200
/?file=../../../../../../var/www/html/.env           HTTP 200

調査結果

アクセスログを詳細確認した結果:

  • レスポンスサイズが全件 163バイト固定(実ファイルが返るなら容量はバラバラになるはず)
  • 当該URLに実際にアクセスした結果、通常のWordPressトップページが返ってきた
  • クエリパラメータ(?path= ?file=)はWordPress側で無視されており、ファイルパスとして解釈されていない

送信元

自動スキャナ3IPによる試行と確認。いずれも1日以内に複数の攻撃手法(wp-config.php / .env / php://filter 等)を短時間で試行するパターン。

対応

実害なしのため対応不要と判断。ブロック措置は見送り。


3. DirectAdmin サーバー — メール設定フォーマット誤り

状況

DirectAdmin サーバーで、特定ドメインのメールアカウントへの接続時に以下のエラーが繰り返し記録された。

Username character disallowed by auth_username_chars: 0x2f
(username: ドメイン名/info)

原因

顧客のメールソフトがスラッシュ区切り形式(ドメイン名/ユーザー名)でログインを試みていた。DirectAdmin では ユーザー名@ドメイン名 形式が正しい。cPanel からの移行時に設定を更新し忘れたケースと推測される。

対応

顧客に正しいメール設定を案内済み。


統計サマリー

スパム状況

サーバークリーンスパムスパム率
cPanel A43,030件2,182件5%
cPanel B1,803件529件23%
cPanel C1,474件1,402件49%
cPanel D1,715件1,090件39%
cPanel E3,272件614件16%
DirectAdmin3,634件1,462件29%

cPanel C のスパム率が全サーバー中最高(49%)。個別アカウントでは受信メールの80〜100%がスパムというケースも複数存在する。SpamAssassinが正常に分類しているため現時点では実害はないが、長期的にはフィルター強化を検討する余地がある。

SSH ブルートフォース

全サーバーで自動スキャナによる SSH 接触を確認。root・admin・mysql などの一般的なユーザー名を狙った試行がほとんどで、いずれも認証前に切断されている。CSF/lfd が正常に機能しており、実害はなし。


定常ノイズについて(補足)

毎日のパトロールで「異常」に見えるが実際には正常動作である項目をまとめる。

  • Dovecot “was killed” ログ — DirectAdmin サーバーで毎回記録されるが、自動再起動されており実害なし。logwatch の誤検知。
  • HTTPD 22万件エラー — DirectAdmin サーバーの AH01071 等は bot スキャンによる慢性ノイズ。件数の急変がなければ正常。
  • a800 iptables 大量ブロック — 自サーバーIPへのアウトバウンドブロックは、許可ポート外へのアクセスを設計通りブロックしているもの。
  • wp-toolkit の sudo セッション多発 — 全サーバーで毎日数百〜数千回記録されるが、WordPress Toolkit の定常動作。

本レポートは実際の運用記録をもとに、顧客情報・ドメイン名・IPアドレス等を匿名化して作成しています。

タイトルとURLをコピーしました