対象日: 2026年6月18日(ログ日付)
パトロール実施: 2026年6月19日
対象サーバー数: 7台(DirectAdmin × 1、cPanel × 5、Ubuntu VPS × 1)
サマリー
| サーバー種別 | 台数 | 重大インシデント | 要対応 | 異常なし |
|---|---|---|---|---|
| DirectAdmin | 1 | 0 | 0 | 1 |
| cPanel | 5 | 0 | 0 | 5 |
| Ubuntu VPS | 1 | 0 | 1(軽微) | — |
| 合計 | 7 | 0 | 1 | 6 |
総評: 全サーバーで侵入・不正送信ゼロ。Ubuntu VPS にて rkhunter の軽微な誤検知1件を検出・対処済み。その他は通常範囲の攻撃トラフィックのみ。
各サーバー詳細
1. Ubuntu VPS(新規稼働サーバー)
ステータス: 対処済み ✅
Dovecot / SSH
- SSH認証失敗: 複数IPからの探索あり、全件 Fail2ban が検出・一時 BAN 後解除
- SSH成功ログイン: 管理者による正規アクセスのみ(鍵認証)
- Dovecot: 軽微な認証失敗のみ、侵入なし
rkhunter
/usr/bin/lwp-requestが “replaced by a script” として警告- 判定: 誤検知。
libwww-perlパッケージの正規 Perl スクリプトであり、最初からスクリプトとして配布されているもの - 対処:
rkhunter --propupd /usr/bin/lwp-requestを実行、プロパティ更新済み。次回スキャンより警告消滅
システム
- 旧カーネル(6.8.0-90 系)の自動削除: 正常
/swapfile3追加(4GB): 正常なメンテナンス作業- ディスク使用率: 7%(余裕あり)
- Docker コンテナの veth インターフェース多数: 正常なコンテナ動作
2. DirectAdmin サーバー
ステータス: 異常なし ✅
Dovecot
- 成功ログイン: 15,707 回(正常範囲)
- 認証失敗: 複数ユーザーへの Password mismatch 攻撃(全件失敗)
- 存在しないドメインの passwd ファイルへのアクセス試行: 1 件(過去の移行残骸と推定、緊急性なし)
Exim(メール送受信)
- 認証失敗: 8,515 件(全件 535 拒否)
- 不正リレー拒否: 3,828 件
- 補足: DirectAdmin + Exim 構成では logwatch がほぼ生ログを出力するため行数が多くなるが、内容は他サーバーと同水準の攻撃トラフィックであり異常なし
SpamAssassin
- スパム率: 32%(正常範囲)
- フィルター動作確認済み
システム
- ディスク使用率: 8%(余裕十分)
3. cPanel サーバー群(5台)
ステータス: 全台 異常なし ✅
共通事項
- 全台で当日
cpanel-monitoring-pluginが 2.6.0 → 2.7.0 へ自動更新 - wp-toolkit による sudo セッションは全台で正常動作
- Systemd の
/var/runパス警告は cPanel 由来の既知の軽微な警告(毎回出力、無視可) - SSH 探索は全台で確認されたが、全件 Timeout または LoginGraceTime 超過で Drop。侵入ゼロ
スパム率比較
| サーバー | スパム率 | 総受信数 |
|---|---|---|
| cPanel-A | 10% | 約 7,800 件 |
| cPanel-B | 25% | 約 2,700 件 |
| cPanel-C | 32% | 約 5,100 件 |
| cPanel-D | 45% | 約 2,900 件 |
| cPanel-E | 52%〜56% | 約 3,300〜5,100 件 |
全台でフィルター動作確認済み。スパム率が高いサーバーも受信スパムを正常に処理しており、不正送信は確認されていない。
ディスク使用率
| サーバー | 使用率 | 総容量 |
|---|---|---|
| cPanel-A | 15% | 788 GB |
| cPanel-B | 27% | 788 GB |
| cPanel-C | 29% | 394 GB |
| cPanel-D | 31% | 394 GB |
| cPanel-E | 38% | 394 GB |
全台余裕あり。要注意ラインまで余裕あり。
個別特記事項
cPanel-B(パスワード認証有効サーバー)
SSH 認証失敗が他の cPanel サーバーより多め。パスワード認証を有効にしている設計上の特性によるもので、想定範囲内。侵入なし。
cPanel-C
特定ユーザーへの Dovecot 認証失敗が複数 IP から継続的に発生。全件失敗しており侵入はないが、当該メールアカウントのパスワードが弱い可能性がある。
cPanel-Dmax_userip_connections 超過(1 ユーザー、1 IP から 6 回)。複数デバイスまたはメーラーの同時接続過多によるもの。侵入ではなく接続設定の問題。クライアントからの問い合わせがない限り放置可。
cPanel-E(Dovecot ログイン最多サーバー)
成功ログイン 85,084 回と今回の対象サーバー中最多。process_full(接続過多による 1 件のログイン中断)を確認したが散発的で問題なし。SSHD セクションの Unmatched Entries がゼロ(全 7 台中唯一)と静かな1日。
共通の脅威トレンド
SSH スキャン
- 全サーバーで中国・東南アジア・東欧を発信元とする SSH 探索を確認
- 特定サーバーでは単一 IP から 10 回以上の Timeout を記録
- 公開鍵認証の徹底により、認証を試みる前段階でドロップされているケースが大半
Dovecot への認証試行
- 複数サーバーで同一アカウントに対する多 IP からのパスワード総当たりを確認
- 全件失敗(Inactivity / auth_failed)
- 攻撃元 IP は毎回異なる分散型パターン
メールスキャン(mod_proxy 試行)
- 複数の cPanel サーバーで
check.easyproxy.xyz等への mod_proxy 経由のプロキシ試行を確認 - 全件拒否済み
教訓・ナレッジ
rkhunter の lwp-request 誤検知
/usr/bin/lwp-request は libwww-perl パッケージに含まれる正規の Perl スクリプト。rkhunter はバイナリを期待するためスクリプトを「置き換えられた」と誤検知する。--propupd コマンドでプロパティを更新することで以降の警告を抑制できる。Ubuntu / Debian 系サーバーで新規セットアップ後に発生しやすい。
DirectAdmin の logwatch 行数について
DirectAdmin + Exim 構成では logwatch の Exim セクションが集計済みサマリーではなく生ログを出力するため、cPanel サーバーと比較して大幅に行数が多くなる。内容としての脅威レベルは他サーバーと同水準。
パスワード認証有効サーバーのリスク
特定の事情でパスワード認証を維持しているサーバーでは SSH 認証失敗ログが他サーバーの数倍になる。CSF / Fail2ban による自動 BAN が機能していることを定期的に確認することが重要。
タイムライン
| 時刻(JST) | 作業内容 |
|---|---|
| 11:19 | パトロール開始 |
| 11:20 頃 | Ubuntu VPS ログ分析・管理者 IP 確認 |
| 11:30 頃 | rkhunter 警告確認指示・結果受領 |
| 11:35 頃 | rkhunter ホワイトリスト登録完了(Ubuntu VPS) |
| 11:40 頃〜 | cPanel 5台・DirectAdmin 1台 順次分析完了 |
| 完了 | 全 7 台 異常なし確認、パトロール終了 |
本レポートは実際のパトロール作業の記録を匿名化・一般化したものです。
特定のドメイン名・顧客情報・内部ホスト名は全て除外しています。
