マルチサーバー共用ホスティングの日次logwatch分析記録。 cPanelサーバー5台+DirectAdminサーバー1台の計6台を対象に、セキュリティ・メール・インフラの状態を横断的に点検した。
サーバー横断サマリー
| サーバー | パネル | 判定 | 配信数 | スパム率 | FWブロック | SSH侵入 | ディスク |
|---|---|---|---|---|---|---|---|
| SV-1 | cPanel | 良好 | 1,661 | 34% | 10,824 | なし | 16% |
| SV-2 | cPanel | 注意 | 1,628 | 57% | 11,015 | なし | 30% |
| SV-3 | cPanel | 警告 | 564 | 70% | 11,559 | なし | 28% |
| SV-4 | cPanel | 注意 | 1,377 | 54% | 23,577 | なし | 35% |
| SV-5 | cPanel | 注意 | 2,786 | 15% | 10,712 | なし | 42% |
| SV-6 | DirectAdmin | 注意 | 2,099 | 21% | 21,861 | なし | 8% |
全サーバー共通:SSH侵入ゼロ、Dovecotブルートフォースゼロ。
1. スパム状況 — cPanelとDAで明暗くっきり
本日最大の発見は、cPanelサーバーとDirectAdminサーバーのスパム率の差。
| パネル | サーバー数 | スパム率レンジ |
|---|---|---|
| cPanel | 5台 | 15%〜70% |
| DirectAdmin | 1台 | 21% |
cPanelサーバー側の特徴
- SV-3が**スパム率70%**で全サーバー中ワースト。clean 560通に対してspam 1,287通
- 50通超のスパムを受けていたアカウントは全6台合計で21アカウント
- 単一アカウントのワーストは191通(SV-2のあるアカウント、clean 1通のみ)
- 次点はclean 0通・spam 123通で、完全にスパムの受け皿と化していたアカウント
転送設定の確認結果
高スパムアカウント計14件を調査した結果、全アカウントで転送設定(vfilter)・catch-all(defaultaddress)ともに未設定だった。
これは重要な意味を持つ。スパムがメールボックスに溜まるだけで、外部(特にGmail)への転送が発生していないため、共用IPの評判への直接的なダメージはない。
system filter(スパム破棄ルール)の配備状況
Exim system filterで X-Spam-Status: Yes のメールを転送前に破棄するルールの設置状況を確認。
- SV-4:運用者が手動で
seen finishルールを設置済み - SV-3:チームが正規パス(
/usr/local/cpanel/etc/exim/sysfilter/options/)で設置済み - SV-5:spamルール2件あり
将来、いずれかのアカウントで転送設定が追加されても、スパムが外部に漏れない防御層が機能している。
2. ポートスキャナー 176.65.148.58 — 3台で対処
発見
SV-4のlogwatchで、単一IPから13,738パケット・13,733種のTCPポートに対するフルポートスキャンを検出。同一IPがSV-5(119パケット)、SV-2(140パケット)にも到達していた。
対処
到達が確認された3台でcsf -dによる永続ブロックを実施。残り2台(SV-1、SV-3)には到達していなかったため対応不要。
| サーバー | パケット数 | 対応 |
|---|---|---|
| SV-4 | 13,738 | csf.deny追加 ✓ |
| SV-5 | 119 | csf.deny追加 ✓ |
| SV-2 | 140 | csf.deny追加 ✓ |
| SV-1 | — | 未到達 |
| SV-3 | — | 未到達 |
教訓
logwatchの横断分析をしていなければ、SV-5とSV-2への到達は見逃していた可能性がある。同一攻撃者が複数サーバーを狙うパターンでは、1台で検出したら全台をチェックする運用が有効。
3. SMTP認証ブルートフォース — DAサーバー固有の課題
発見
DirectAdminサーバー(SV-6)で、5,378回のSMTP認証失敗を検出。攻撃元は3,037ユニークIP。特定のアカウント名が集中的に狙われており、最多は367回。
cPanelサーバーではEximセクションがlogwatchに出ないため、同等の攻撃があっても数字として見えにくい構造的な違いがある。
防御状況
CSFのLF_SMTPAUTH=5(5回失敗で永続ブロック)が有効に機能しており、攻撃者は自動的にブロックされていた。csf.denyは672/1,000で余裕あり。
4. HTTPプローブ — .envファイル探索
発見
SV-6(DirectAdmin)のhttpdログに、パストラバーサル攻撃(/?file=../../../../var/www/html/.env)がHTTP 200を返した記録があった。
.envファイルにはDB認証情報やAPIキーが格納されることが多く、漏洩すれば深刻な被害につながる。
調査結果
/var/www/html/.env→ 存在しない/home/以下の全ディレクトリ → .envファイル不在- 実際のHTTPレスポンス → 403 Forbidden
logwatchのHTTP 200表示は、アプリケーション層のデフォルトレスポンスによるもので、ファイル内容は露出していなかった。
教訓
logwatchの「HTTP 200」だけで安心も焦りもできない。実際にファイルの存在を確認し、現在のレスポンスコードを検証するところまでやって初めて安全と言える。
5. SSH — PasswordAuthentication=yesの影響
状況
6台中1台(SV-5)のみPasswordAuthentication=yesを維持している(特定ユーザーのアクセス用途で意図的な設定)。
結果として、SV-5のSSH認証失敗は798件で、他サーバー(8〜34件)と比べて桁違いに多い。特定のcPanelアカウント名が複数IPから狙い撃ちされていた。
確認結果
- 該当ユーザーのシェル →
noshell(ログイン不可) - SSHの
DenyUsersにも明示的に登録済み - パスワードハッシュ → SHA-512(強度は十分)
二重防御が効いており、パスワードが破られてもSSHログインは不可能。ただし、攻撃面が広い状態は変わらないため、長期的には鍵認証への移行が望ましい。
6. Dovecot — 全サーバーで平穏
| 項目 | 結果 |
|---|---|
| ブルートフォース | 全6台で0件 |
| killed(異常停止) | SV-3で1件(既知の誤検知パターン) |
| auto-restart override | 全cPanelサーバーに配備済み |
SV-3の「Dovecot was killed, and not restarted afterwards」はlogwatchの誤検知。実際にはSIGHUPによるリロード処理であり、auto-restart override(systemd)も配備済みのため実害なし。
7. クライアント対応 — メーラー設定誤り
DA移行後のユーザー名形式問題
cPanelからDirectAdminへ移行したドメインで、クライアントのメーラーが旧形式のユーザー名のまま接続し続けるケースが2件発生。
| パターン | 原因 | 日次エラー数 |
|---|---|---|
ドメイン名/ユーザー名 形式 | cPanel形式のまま未変更 | 152回 |
| 氏名をそのまま入力(スペース含む) | メーラーの設定ミス | 51回 |
2件目については、6月2日に通知メールを送信し、クライアントから「修正済み・テスト完了」の返信があった。しかしサーバーログを確認すると同一IPから6月7日もエラーが継続していた。
IP履歴を調査したところ、5月6日から1ヶ月以上、毎日60〜80件のエラーが出続けていることが判明。クライアントが「修正した」のは送信(SMTP)側のみで、受信(POP3)側のユーザー名が未修正と推定。
最新の6月7日付ログを添付した再通知メールを送信した。
教訓
- クライアントが「修正済み」と報告しても、ログで実際に解消されたか検証することが重要
- SMTP/POP3/IMAPは別々に設定される場合が多く、「送信テストOK」は受信側の修正を保証しない
- 接続元IPの履歴分析で、「別端末の問題」か「同一端末の未修正」かを切り分けられる
8. インフラ指標
LFDメモリ消費
| サーバー | LFDメモリピーク | csf.deny件数 |
|---|---|---|
| SV-3 | 752.3 MB | 1,669 |
| SV-5 | 751.4 MB | 711 |
| SV-1 | 669.1 MB | — |
| SV-2 | 603.1 MB | 865 |
| SV-4 | 88.4 MB | 762 |
SV-3とSV-5が750MB超え。csf.deny件数との相関は弱く(SV-5は711件でも751MB)、ログ監視プロセスの接続追跡がメモリ消費の主因と推定。IPSET有効なのでiptablesルール自体は軽量。経過観察。
ディスク使用率
全サーバー42%以下。最も余裕があるのはSV-6(DA)の8%、最も高いのはSV-5の42%。いずれも問題なし。
本日の対応タイムライン
| 時刻 | 対応内容 |
|---|---|
| 06:43 | SV-4: 176.65.148.58 csf.deny追加 |
| — | SV-4: system filter確認(ジージ設置済み) |
| — | SV-3: 転送・catch-all・system filter確認(全て対応済み) |
| — | SV-6: .envプローブ調査(安全確認) |
| — | SV-6: SMTP認証保護確認(LF_SMTPAUTH=5 正常稼働) |
| — | SV-6: UDP/24441自己通信調査(現在停止) |
| — | SV-6: メーラー設定誤りのクライアント再通知メール送信 |
| 07:15 | SV-5: 176.65.148.58 csf.deny追加 |
| 07:20 | SV-2: 176.65.148.58 csf.deny追加 |
| — | SV-5: dreamdirectユーザーSSH保護確認(noshell + DenyUsers) |
| — | SV-1: 全項目正常、対応不要 |
まとめ
6台の共用サーバーに対して日次logwatch分析を実施し、以下の成果を得た。
即時対応(完了)
- ポートスキャナーのcsf.denyブロック(3台)
- .envプローブの安全確認
- SMTP認証保護・SSH保護の正常動作確認
- クライアントへのメーラー設定修正の再通知
構造的な知見
- cPanelサーバーのスパム率(15〜70%)はDAサーバー(21%)より総じて高い
- 転送設定がないことでIP評判への直接ダメージは回避されている
- system filterの予防的設置が「将来の事故」を防ぐ重要な防御層になっている
- 同一攻撃者の複数サーバー横断パターンは、1台の検知を全台に展開する運用で対処
- クライアントの「修正済み」報告はログで裏取りするまで確定しない
