日付: 2026年6月21日
対象期間: 2026-06-20(前日分ログ)
対象サーバー: cPanelサーバー×5 / DirectAdminサーバー×1 / 新規構築サーバー×1
作成: アリス(パトロール担当)
サマリーテーブル
| サーバー | ディスク | 主な異常 | 対応状況 |
|---|---|---|---|
| a200 | 15% | IMAP認証失敗(1名) | メール送付済み |
| a400 | 31% | IMAP認証失敗(複数)・スパム率53% | メール送付済み |
| a500 | 29% | IMAP認証失敗(1名)・SSH探索 | deny追加・メール送付済み |
| a600 | 27% | POP3探索攻撃・IMAP認証失敗(複数)・スパム率67% | deny追加・メール送付済み |
| a700 | 46% | IMAP認証失敗(1名)・スパムフィルター未設定 | フィルター設定・メール送付済み |
| da01 | 8% | SMTP辞書攻撃(7,456件)・IMAP認証失敗(2名) | CSF閾値調整・メール送付済み |
| a800 | 2% | 初回logwatch・SPF/DKIM未設定 | ドメイン移行時に対応予定 |
サーバー別詳細
a200
状態: 正常
ディスク: 15%(余裕あり)
IMAP/POP3ログイン成功: 6,767件
スパム率: 30%
対応:
- 同一日本国内IPからIMAP認証を繰り返している利用者を確認。パスワード設定誤りの可能性があるため、しみずを通じて設定確認のご連絡を送付した。
a400
状態: 要注意
ディスク: 31%(余裕あり)
IMAP/POP3ログイン成功: 9,376件
スパム率: 53%(やや高め)
特記事項:
- 複数の海外IPから同一アカウントへのIMAP認証試行が継続。クレデンシャルスタッフィング攻撃の可能性。
- スパム受信が全体の半数を超えるアカウントが複数存在。
alt-openssl11が自動更新済み(3.3→3.4)。正常な自動更新。
対応:
- 認証失敗が継続している利用者3名にしみずを通じて設定確認のご連絡を送付した。
a500
状態: 正常(軽微な対応あり)
ディスク: 29%(余裕あり)
IMAP/POP3ログイン成功: 13,305件
スパム率: 70%
特記事項:
- 中国からのSSH探索(最大14回/IP)を複数確認。いずれもpre-auth段階で全遮断済み。
- 同一日本国内IPからPOP3認証を繰り返している利用者を1名確認。
対応:
- 探索頻度の高い中国IPをCSF denyリストに手動追加した。
- 認証失敗が継続している利用者にしみずを通じて設定確認のご連絡を送付した。
a600
状態: 要注意
ディスク: 27%(余裕あり)
IMAP/POP3ログイン成功: 41,273件(フリート内最多)
スパム率: 67%
特記事項:
- ドメインなしのユーザー名(短文字列)で同一IPからPOP3認証を42回試行するパターンを確認。外部からの探索攻撃と判断した。
- 同一ドメインの複数ユーザーが同時にIMAP認証失敗を繰り返しており、パスワード変更やサーバー移行後の設定更新漏れの可能性がある。
- 別ドメイン利用者2名でも認証失敗を確認。
alt-openssl11が自動更新済み(3.3→3.4)。正常な自動更新。- cPanel/ImunifyのSystemd unitファイルに
/var/run参照の警告が多数出ているが、既知の問題であり実害なし。
対応:
- 探索攻撃元IPをCSF denyリストに手動追加した。
- 認証失敗が継続している利用者(計6名)にしみずを通じて設定確認のご連絡を送付した。
a700
状態: 正常(スパムフィルター改善あり)
ディスク: 46%(余裕あり)
IMAP/POP3ログイン成功: 5,841件
スパム率: 13%(全体良好)
特記事項:
- 管理者アカウントのスパム受信比率が98%超と突出して高く、スパムフィルターが未設定の状態だった。
- 同一IPから2つのドメインへ同時にPOP3認証失敗が発生しており、パスワード誤設定の可能性がある利用者を1名確認。
- SSHへのroot試行が複数IPから確認されたが、いずれもpre-auth段階で全遮断済み。
対応:
- 管理者アカウントのSpamAssassinスコア閾値を引き下げ(5.0→4.0)し、スパムボックスへの自動振り分けフィルターを新規作成した。
- 認証失敗が継続している利用者にしみずを通じて設定確認のご連絡を送付した(2アカウント分を1通にまとめて送付)。
da01(DirectAdmin)
状態: 要注意
ディスク: 8%(余裕十分)
IMAP/POP3ログイン成功: 13,677件
スパム率: 43%
特記事項:
- 管理ドメイン宛に1日7,456件のSMTP認証失敗を確認。163種の架空アカウント名を使った分散型辞書攻撃で、24時間均等に継続する低レート攻撃パターンだった。全て「535 Incorrect authentication data」で遮断済みだが、ログ汚染とサーバー負荷が継続していた。
- 外部から接続を試みている実在利用者を2名確認(日本国内IP)。パスワード誤設定の可能性。
- モロッコのIPからIMAP探索試行を1件確認。
対応:
- SMTP認証失敗の自動ブロック閾値(LF_SMTPAUTH)を5回から3回に引き下げ、CSF再起動により反映した。これにより2〜3回試行の分散型攻撃もキャッチできるようになった。
- モロッコIPをCSF denyリストに手動追加した。
- 認証失敗が継続している利用者2名にしみずを通じて設定確認のご連絡を送付した。
a800(新規構築)
状態: 初期状態・正常
ディスク: 2%(935GBの空き)
対象期間: 2026-06-21 早朝まで(初回レポート)
特記事項:
- 2026-06-20に構築された新規サーバー。本レポートが初回logwatch。
- cPanelアカウントはまだ追加されておらず、SPF/DKIMレコードもDNS未設定の状態。DKIM秘密鍵はサーバー上に生成済み。
- 前日に
/tmp/csf/にCSFインストール残骸が残存していることをlfd(ファイル監視)が検知し、アラートメールを送信したが、管理者メールアドレス(Gmail)への送達がSPF/DKIM未設定のため失敗していた。
対応:
/tmp/csf/(CSFインストール残骸・42KB)を削除した。- SPF/DKIMのDNS設定はドメイン移行時にまとめて実施予定。
今日の学び・気づき
LF_SMTPAUTH閾値と分散型辞書攻撃
CSFのSMTP認証失敗自動ブロックは、デフォルト5回設定では1IPあたり2〜3回しか試行しない分散型ボットネット攻撃をキャッチできない。3回に引き下げることで捕捉率が向上する。ただし正規ユーザーのパスワード誤入力も早期ブロックされるため、誤検知時の解除フローも合わせて整備しておくことが望ましい。
新規サーバーのlfdアラートメール到達確認
SPF/DKIM未設定のままGmail宛にlfdアラートを送ると、Gmailが550エラーで拒否し管理者が気づけなくなる。新規サーバー構築時は、アカウント追加前にSPF/DKIMのDNS設定を完了させるか、lfdの通知先を一時的に別サーバー経由のアドレスに設定しておくとよい。
本レポートはチームしずくの内部パトロール記録です。サーバー固有の情報(ドメイン名・顧客情報・IPアドレス)は匿名化または省略しています。
