共有ホスティング環境(cPanel / DirectAdmin)における logwatch 日次診断の実施記録です。 セキュリティ上の配慮から、サーバーIP・ホスト名・SSH ポート・顧客ドメイン/アカウント情報は匿名化しています。
サマリー
| 項目 | 内容 |
|---|---|
| 対象サーバー数 | 6台(cPanel × 5、DirectAdmin × 1) |
| 診断日 | 2026-06-09 |
| 重大障害 | なし |
| 対応件数 | 9件(うち即時対応 5件、案内メール 4件) |
| 積み残し | 1件(高スパム率アカウント調査) |
対応一覧
| # | 分類 | 内容 | 結果 |
|---|---|---|---|
| 1 | 設定修正 | logwatch メール行長エラー(WordWrap設定追加) | 完了 |
| 2 | セキュリティ | ModSecurity DBMファイル パーミッション修正 | 完了 |
| 3 | 顧客対応 | WordPress サイトのダウン調査・回答 | 送信済み |
| 4 | 顧客対応 | POP3同時接続過多 → IMAP切替案内 | 送信済み |
| 5 | 顧客対応 | WordPressプラグイン自動更新失敗 × 2件 | 送信済み |
| 6 | セキュリティ | SMTP ブルートフォース攻撃 → CSF ブロック | 完了 |
| 7 | 顧客対応 | ブルートフォース攻撃通知・パスワード変更依頼 | 送信済み |
| 8 | 調査 | Dovecot “killed” × 2台 → reload 正常動作と確認 | 対応不要 |
| 9 | 調査 | WordPress サイトダウン原因調査(Jetpack誤検知) | 完了 |
発見事項と解説
1. logwatch の行長エラー
logwatch がメールで送信するレポートに4,154文字の長い行が含まれており、Exim の2,048文字制限に引っかかってバウンスしていました。
WordWrap = 1000 を設定ファイルに追加して解決しました。wp-toolkit が大量のコマンドを1行で出力するため、ユーザー数の多いサーバーほど発生しやすい問題です。
2. ModSecurity DBM ファイルのパーミッション不備
Apache のエラーログに Permission denied が大量出力されていました。ModSecurity のセッション追跡用ファイル(-global / -ip)の所有者が正しくなかったことが原因です。
chown nobody:nobody /var/cpanel/secdatadir/[アカウント]-global* ...
chmod 644 /var/cpanel/secdatadir/[アカウント]-ip* ...
サイト表示への影響はありませんでしたが、ModSecurity のセッション管理が正常に機能していない状態でした。放置するとセキュリティ機能の一部が無効化されるため対処しました。
3. WordPress サイトの断続的ダウンアラート(Jetpack 誤検知)
5月27日〜6月9日の間に17回のダウンアラートが届いていましたが、サーバー側の詳細調査(DB・メモリ・PHP・cron)では異常が見つかりませんでした。
判定:Jetpack Monitor の誤検知
Jetpack Monitor は外部ネットワーク経由でサイトを監視するため、インターネット経路の一時的な揺らぎでも「ダウン」と判定します。アラートの大半が3分以内に自動復旧していたことも誤検知パターンに合致します。
4. POP3 同時接続過多
あるアカウントで3日間に2,277回の POP3 接続が記録されており、平均97秒(約1分37秒)に1回という高頻度でした。複数の端末が同時に POP3 受信を試みており、Dovecot の max_userip_connections = 3 に繰り返し引っかかっていました。
根本対策:IMAP への切り替えを案内しました。POP3は複数端末での同時利用に向かない設計であるため、IMAPへの移行が最もクリーンな解決策です。
5. WordPress プラグイン自動更新失敗
2サーバーで計3件のWP自動更新失敗を検出しました。
- ライセンス切れ系(
vk-blocks-pro、lightning-pro):有償プラグインのライセンス認証が必要なため wp-toolkit が自動更新不可。WordPress 管理画面からの手動更新を案内。 - データ破損系(
Decrypting an empty string is prohibited):プラグインが内部で保持する暗号化データが空になっており復号失敗。プラグインの再インストールを案内。
6. SMTP ブルートフォース攻撃
あるアカウントに対して世界各地の異なるIPから約30分間隔で継続的に認証試行が行われていました。ボットネットによる分散型ブルートフォースのパターンです。
対処
- 攻撃元7IPを CSF で即時ブロック
- パスワードハッシュは SHA-512 であることを確認(MD5より解析困難)
- 顧客にパスワード変更を依頼
ポイント:SHA-512 ハッシュは総当たりに強いものの、パスワード自体が弱ければいずれ突破されます。攻撃が継続している間はパスワード変更が最も有効な予防策です。
7. Dovecot “killed” の誤解
2台のサーバーで logwatch に Dovecot was killed と記録されていました。一見深刻に見えますが、実際は dovecot reload コマンドによる設定リロード時に子プロセスへ SIGTERM が送られた正常な動作でした。
logwatch がこの SIGTERM を「killed」と表記するため誤解を招きやすいパターンです。journalctl で実際のログを確認し、どちらも reload 後に正常再起動していることを確認しました。
8. lfd(ConfigServer Firewall Daemon)のメモリ消費
一部サーバーで lfd のメモリピーク使用量が750〜785MB と他サーバー(30〜35MB)と比べて突出していました。
同日に imunify-antivirus(8.8.1 → 8.8.3)と kernel-tools のアップデートが自動適用されており、更新後のサービスリロードが影響した可能性があります。翌日以降も継続するか引き続き監視します。
本日の教訓
Dovecot “killed” はほぼ誤報 logwatch の表記は実態より深刻に見える。journalctl -u dovecot で reload か本当の停止かを必ず確認する。
Jetpack Monitor のアラートはサーバー障害と即断しない 外形監視ツールの誤検知はよくある。サーバー側ログ(Apache・MySQL・PHP)と照合して初めて判断できる。
POP3 複数端末運用は限界がある 2025年以降、スマホ・PC・タブレットの同時利用が標準になった現在、POP3 は設計思想が古い。新規設定は IMAP を推奨。
wp-toolkit の自動更新失敗は定期的に巡回が必要 有償ライセンス系プラグインは自動更新できない。logwatch のチェックで早期発見できる。
本レポートは実際の運用記録をもとに作成しています。 サーバー管理・ホスティングサービスに関するご相談は販売開発(hanbai.com)までお気軽にどうぞ。
