作成日: 2026-06-14
対象期間: 2026-06-13(昨日分)
対象サーバー数: 6台
パトロール実施: チームしずく
サマリーテーブル
| サーバー | スパム率 | SSH攻撃 | IMAP攻撃 | 主な対応 | 総合評価 |
|---|---|---|---|---|---|
| サーバーA | 17% | 200IP超 | TLSプローブ多数 | spamd再起動 | ⚠️ 要監視 |
| サーバーB | 55% | 数十IP | 分散型多数 | spamd再起動 | 🔴 高スパム |
| サーバーC | 通常範囲 | 数十IP | 集中攻撃1件 | scanbot 2件ブロック | ✅ 対応完了 |
| サーバーD | 通常範囲 | 200IP超 | 分散型多数 | 攻撃IP 4件ブロック・spamd再起動 | ✅ 対応完了 |
| サーバーE(DA) | 20% | 多数 | サブネット攻撃 | /24ブロック | ✅ 対応完了 |
| サーバーF | 57% | 数十IP | 分散型多数 | tmpdir削除 | 🔴 高スパム |
パッケージ更新(全サーバー共通)
全サーバーで以下のセキュリティアップデートが自動適用されていた。
- openssl 3.5.5-3 → 3.5.5-4(セキュリティ修正)
- alt-sqlite 3.53.1 → 3.53.2
openssl更新後、SpamAssassinデーモン(spamd)が旧ライブラリを掴んだままになっていたため、cPanelサーバー3台でspamdを再起動し更新を有効化した。
各サーバー詳細
サーバーA(cPanel)
Dovecot
- メール配信: 3,459通、ログイン成功: 5,783回
- TLSハンドシェイク中断が複数IPから発生(スキャンボットによるプローブと判断)
- 特定メールアドレスへの認証失敗が複数海外IPから分散して発生
SpamAssassin
- スパム率17%(644件/3,722件)
- 特定アカウントでスパム率99%超が複数確認された
- 外部転送設定なし → IP評判への直接リスクなし
SSH
- 200IP超からのroot総当たり攻撃(CSF/LFDが正常ブロック)
- SSHDの自動再起動1回(正常動作)
パッケージ・システム
- openssl更新済み / spamd再起動完了
- ディスク使用率37%(余裕あり)
- CSF: LF_IPSET有効・DENY_IP_LIMIT=2000(良好な構成)
サーバーB(cPanel)
⚠️ 本日最高水準のスパム問題
SpamAssassin
- スパム率55%(977件/1,765件)— フリート内で深刻なレベル
- 上位2アカウントだけでスパム総数の約42%を占める
- 外部転送設定なし → IP評判への直接リスクなし
- SpamAssassinによるフィルタリング自体は正常動作中
Dovecot
- メール配信: 800通、ログイン成功: 11,162回
auth_allow_weak_schemes=yes警告あり(TLS前提のため即時実害は低い)- 複数アカウントへの認証失敗(分散型)
SSH
- 複数IPからの総当たり攻撃(CSF正常ブロック)
- SSHDの自動再起動1回(正常動作)
パッケージ・システム
- openssl更新済み / spamd再起動完了
- logwatch tmpdir残留キャッシュを削除
- ディスク使用率29%(余裕あり)
サーバーC(cPanel)
Dovecot
- メール配信: 2,784通、ログイン成功: 65,034回(フリート最多)
- 特定メールアドレスへの分散型ブルートフォース攻撃が広範囲で発生
- 攻撃は1IPあたり1〜2回に抑えられており、CSF閾値をかわす分散型
- 同一IPからの過剰接続(メールソフト設定ミスが原因の正規ユーザー)を確認
セキュリティ対応
- スキャンボット2件をCSFでブロック
- NTP時刻ずれ(0.287秒)を確認 → 軽微なため対応不要
パッケージ
- bind / kernel / samba等のセキュリティアップデートが自動適用済み
- logwatch tmpdir残留キャッシュを削除
サーバーD(cPanel)
Dovecot
- メール配信: 1,887通、ログイン成功: 8,053回
- 特定メールアドレスへの集中攻撃を検知(同一IP帯から60件以上の認証失敗)
- 別メールアドレスでパスワードハッシュ破損による認証一時障害を確認(利用期限切れアカウントのためhold)
auth_allow_weak_schemes=yes警告あり
セキュリティ対応
- 集中攻撃元IP 2件をCSFで即時ブロック
- スキャンボット2件をCSFでブロック(他サーバーと同一bot群)
- openssl更新済み / spamd再起動完了
パッケージ・システム
- openssl更新済み
- ディスク使用率15%(余裕あり)
- logwatch tmpdir残留キャッシュを削除
サーバーE(DirectAdmin)
Dovecot
- ログイン成功: 12,669回
admin@*パターンの認証失敗が同一サブネット帯から大量発生 → /24単位でCSFブロック- 移行後の設定残存により一部ドメインで設定警告が出ているが実害なし
SpamAssassin
- スパム率20%(647件/3,160件)— 許容範囲
- 複数アカウントでスパム集中を確認
HTTPD(Apache)
- エラーログ約78万行を分析した結果、ほぼ全量が外部からの攻撃スキャン
- 存在しないPHPファイルへのボットアクセス(約97%)
.envファイル窃取スキャン(約15,000件)- パストラバーサル攻撃(CVE-2021-41773)101件 → 全件Apacheが正常にブロック済み
- サーバー設定の問題ではなく、実害なし
システム
- ディスク使用率8%(余裕あり)
- DirectAdminサービスのメモリピークは再起動時の一時的なもので現在は正常
- logwatch tmpdir残留キャッシュを削除
サーバーF(cPanel)
⚠️ 本日フリート最悪のスパム率
SpamAssassin
- スパム率57%(1,252件/2,192件)— 全サーバー中最高
- 上位3アカウントだけでスパム総数の71%を占める
- アカウントA: スパム率99.8%(448件)
- アカウントB: スパム率99.6%(250件)
- アカウントC: スパム率92.4%(195件)
- 外部転送設定なし → IP評判への直接リスクなし
- SpamAssassinのフィルタリングは正常動作中
Dovecot
- メール配信: 1,829通、ログイン成功: 9,547回
- 複数ドメインへの分散型IMAP認証攻撃を確認
auth_allow_weak_schemes=yes警告あり
システム
- ディスク使用率31%(余裕あり)
- logwatch tmpdir残留キャッシュを削除
今日の主要な発見と教訓
1. openssl更新後はspamd再起動が必要
openssl のマイナーアップデートが自動適用されると、spamd(SpamAssassin)が旧ライブラリを掴んだまま動作し続ける。更新の効果を有効化するにはspamdの再起動が必要。needrestart が未インストールの場合は lsof で確認する方法が有効。
# 旧SSLライブラリを掴んでいるプロセスを確認
lsof -n | grep ssl | grep DEL | awk '{print $1}' | sort -u
2. logwatch tmpdir残留は過去のkillの名残
複数サーバーで logwatch tmpdir の残留が発生していたが、原因は過去のある時点でcron実行中にプロセスがkillされたときの残骸。現在のlogwatch自体は正常動作しており、手動実行でも問題なし。定期的な tmpdir チェックを運用フローに加えることを推奨。
3. 分散型ブルートフォースはCSF閾値では捕捉困難
1IPあたりの試行を1〜2回に絞った分散型攻撃は、LF_IMAPD=10 などの閾値ベースの検知をかわす。対策として現実的なのは以下の通り。
- 対象アカウントのパスワード強化をユーザーに依頼する
- GeoIPブロック(副作用あり・慎重に判断)
- 継続的なlogwatch監視で傾向を把握する
4. 同一スキャンbotが複数サーバーを横断してスキャン
66.132.195.x 系のスキャンボットが複数サーバーで同時確認された。1台でブロックが確認できたIPは、他サーバーにも展開することで効率的に対処できる。
5. Apacheのエラーログ大量出力はほぼ攻撃スキャン
DirectAdminサーバーで約78万行のHTTPエラーログが確認されたが、分析の結果97%以上が外部ボットによるスキャン(存在しないPHPファイルへのアクセス、.env窃取スキャン、パストラバーサル攻撃等)であり、Apacheが全件正常にブロック済みだった。大量エラーログ=即サーバー問題ではなく、内訳の分析が重要。
タイムライン
| 時刻(JST) | 対応内容 |
|---|---|
| 午前 | 各サーバーのlogwatchレポート収集・分析開始 |
| 午前 | a200・a600・da01のtmpdir削除・手動logwatch実行 |
| 午前 | a200: 集中攻撃元IP 2件・スキャンbot 2件 CSFブロック |
| 午前 | a500・a200・a700: spamd再起動(openssl更新有効化) |
| 午前 | a600: スキャンbot 2件 CSFブロック |
| 午前 | da01: 172.94.9.0/24 サブネットブロック |
| 午前 | da01 HTTPD大量エラーの内訳分析 → 全件攻撃スキャンと確認 |
| 午前 | chabu.net userdb不整合を過去チャットと照合 → 解消済みと確認 |
| 午前 | a400: tmpdir削除・スパム実態調査完了 |
| 午前 | logwatch生成失敗の原因調査 → 過去のkill残骸と確定・現在は正常 |
本レポートはサーバー固有の情報(IPアドレス・ホスト名・ドメイン名・アカウント名)を匿名化しています。
