実施日:2026-06-16(対象ログ:2026-06-15分)
サマリー
| 項目 | 内容 |
|---|---|
| 対象サーバー数 | 6台(cPanel × 5、DirectAdmin × 1) |
| 総対応件数 | vfilter設定 11件・CSFブロック 24件 |
| 全体スパム率 | 7〜40%(サーバーにより差あり) |
| 緊急障害 | なし |
サーバー別結果
サーバーA(cPanel)
- スパム率:38%
- vfilter未設定アカウント1件を検知・設定
- AzureクラウドからのPHPスキャン攻撃IPをCSFブロック
- SSH多段タイムアウト発生IP 1件をブロック
- iptablesブロック:約11,900パケット
サーバーB(cPanel)
- スパム率:40%(本日最高)
- vfilter未設定アカウント4件を一括設定
- うち3件はアカウント名と実ドメイン名が異なっており、実在ファイル名確認後に設定
- SSH攻撃IP 3件をCSFブロック
- iptablesブロック:約14,100パケット
サーバーC(cPanel)
- スパム率:21%(本日最良クラス)
- SSHタイムアウトが1件のみと少なかったが、CSFが事前ブロックしていたことを生ログで確認(SSH関連ブロック188行・総パケット12,162件)
- vfilter未設定アカウント1件を設定
- アカウント名と実ドメイン名が異なるパターン(例:
profile-j.com)を確認後に設定
- アカウント名と実ドメイン名が異なるパターン(例:
サーバーD(cPanel)
- スパム率:36%
- vfilter未設定アカウント3件を設定(実ドメイン名確認後)
- SSH攻撃IP 4件をCSFブロック
- 特定アカウントのIMAPメールボックス(1.9GB)を検知 → 顧客へ案内メール送信
- 別アカウントにてPOP3多重接続問題が継続中:特定IP1拠点(1.2分に1回ポーリング)が原因と特定し顧客へ連絡・ログ添付で報告
- IMAP/POP3ログイン数が他サーバー比で突出(約89,000件)← 上記多重接続が主因
- iptablesブロック:約14,700パケット
サーバーE(cPanel)
- スパム率:7%(本日最良)
- SSH認証失敗が多数(root/unknown/mysql/ftpへの総当たり攻撃)← PasswordAuthentication設定による既知事項
- SSH攻撃IP 4件ブロック(うち2件はLFDが自動ブロック済みを確認)
- vfilterは設定済みを確認(対応不要)
- imunify-wp-security 自動アップデート確認(3.0.4 → 4.0.1)
- ディスク使用率:41%
サーバーF(DirectAdmin)
- スパム率:18%
- AzureクラウドからのPHPスキャン攻撃が422,512件(1日分)
- 上位10 IPをCSFブロック(うち1件は調査時点でリアルタイム攻撃中)
AH01071: Got error 'Primary script unknown'が全量を占める
- vfilter(DA形式フィルタ)未設定アカウント2件を設定
- Exim中継拒否:3,121件(正常動作)
- SMTP認証総当たり攻撃:世界各地のIPから0時台より継続
- 特定ドメインの
passwd_altファイル不在エラー757回を確認 → passwdファイルは存在、実害なし - ディスク使用率:8%(余裕十分)
- SSHタイムアウト:0件(非標準ポート運用の効果)
フリート横断で確認された傾向
1. vfilter未設定問題(全6サーバーで発生)
SpamAssassinがスパム判定しても破棄ルールが設定されていないアカウントが複数存在した。
特徴的なパターン:
- ファイル自体が存在しない
- 空ファイルまたはテンプレートのみで実ルールなし
- cPanelアカウント名と実ドメイン名が一致しない(例:
momijiy→momiji-ya.com)
対策: 新規アカウント作成時にvfilter設定をチェックリスト化することを推奨。
2. 共通攻撃IP(202.46.29.90)
複数サーバーにまたがってSSHタイムアウトを繰り返すIPを検知。
本日パトロールで全サーバーへのブロックを統一した。
3. AzureクラウドからのPHPスキャン攻撃
複数サーバーで AH01071: Got error 'Primary script unknown' エラーが大量発生。
同一のMicrosoftクラウドIPレンジから組織的なスキャンが行われている。
対象:存在しないPHPスクリプトへのアクセスを連打するパターン。
4. CSFの「少ないSSHタイムアウト」は安全の証拠
あるサーバーでSSHタイムアウトが1件のみだったため調査したところ、CSFが事前にブロックしていたことが判明。
生ログではSSH関連ブロック188行・約12,000パケットを確認。
「ログに出ない = 攻撃がない」ではなく「CSFが先に弾いている」という解釈が正しい。
5. POP3多重接続問題(顧客対応事例)
複数端末で同一メールアカウントをPOP3共有利用しているケースで、特定1拠点の受信間隔が短すぎてサーバー接続上限に達していた。
ログ分析でIPアドレス別接続頻度を数値化し、問題拠点を特定。顧客へIP確認方法・設定変更依頼メールを送付した。
本日の対応タイムライン(JST)
| 時刻 | 対応内容 |
|---|---|
| 07:04 | サーバーB パトロール開始 |
| 07:20 | サーバーB 完了(vfilter 4件・SSH 3件) |
| 07:25 | サーバーC パトロール開始 |
| 07:35 | サーバーC 完了(vfilter 1件) |
| 07:37 | サーバーE パトロール開始 |
| 07:42 | サーバーE 完了(CSF 4件)・サーバーD パトロール開始 |
| 07:43 | サーバーF パトロール開始 |
| 07:47 | サーバーF 完了(vfilter 2件・Azure 10件ブロック) |
| 〜08:35 | サーバーD 完了(vfilter 3件・SSH 4件・顧客対応2件) |
教訓・ノウハウ
- vfilterはアカウント名でなく実ドメイン名で設定する
cPanelのアカウント名(短縮形)と実ドメイン名は一致しないことが多い。ls /etc/vfilters/で実在ファイル名を確認してから設定すること。 - DA形式のfilterはcPanel形式と構文が異なる
cPanelは# Exim filterヘッダ+Exim構文、DirectAdminは独自構文(if ($header_...) delete endif)。混在環境では注意が必要。 - 「ログに出ない」は調査が必要
SSHタイムアウトが異常に少ない場合、CSFが上流でブロックしている可能性がある。生ログ(iptables)との照合で実態を把握する。 - POP3多重接続の原因特定はIP別集計が有効
max_userip_connections超過は「接続数の合計」だけでなく「IP別の頻度」を分析することで問題拠点を特定できる。全IPが問題とは限らない。 - csf.deny の上限管理
DENY_IP_LIMIT(設定値2000件)への到達に注意。満杯になると古いエントリが自動削除される。定期的な棚卸しを推奨。
本レポートはサーバー運用の記録を匿名化・一般化したものです。IPアドレス・ドメイン名・顧客情報は掲載していません。
