サーバーパトロール公開レポート

Uncategorized

対象日: 2026-06-22
公開日: 2026-06-23
担当: チームしずく

総括

サーバー区分台数正常要監視
メール/Webサーバー633
VPSサーバー110

今回のパトロールでは実害のある侵害はゼロ。ただし複数サーバーで継続的なブルートフォース攻撃が確認され、一部ユーザーへのパスワード強化案内を実施した。また顧客からのスパム対策依頼に対し、設定変更まで完結させた。

サーバー別レポート

VPS(Ubuntu系)

総合: 🟢 正常

  • Webminポート(10000)への攻撃をCSFが自動ブロック。攻撃元は62.60.130.237(欧州)
  • rkhunterによるルートキットスキャン実施 → クリーン確認
  • Postfixメールキューに若干の遅延(中央値102秒)。次回以降で推移を監視する

cPanelサーバー A(最クリーン)

総合: 🟢 正常

  • スパム率21%(全サーバー中最良)
  • Imunifyがv8.11.4へ自動更新。動作に影響なし
  • 特記事項なし

cPanelサーバー B

総合: 🟡 要監視

  • Dovecotへのブルートフォース攻撃:73ユニークIPから試行継続(ブラジル・ドイツ系)
  • 実在するメールアカウントへのパスワード推測試行が含まれるため、引き続き監視
  • 実害(不正ログイン成功)はなし

cPanelサーバー C

総合: 🟡 要監視

  • Log4Shell(CVE-2021-44228)の偵察スキャンを検知。oast.funドメインを使ったOut-of-Band検知ツールによる試行
  • 対象のcgi-sysはJavaアプリではないため脆弱性の影響なし
  • スパム率54%(全サーバー中最高)。継続監視中

cPanelサーバー D

総合: 🟢 正常

  • Dovecot Policy server(cPhulkd、ポート579)の稼働を確認。正常動作
  • Webmin攻撃をCSFが自動ブロック
  • ImageMagick更新(6.9.13.25→6.9.13.50)後のlfd integrity確認 → 誤検知なし

cPanelサーバー E

総合: 🟡 要監視

  • Dovecot “killed” エントリーがlogwatchに出現 → 調査の結果、SIGTERMによる正常な再起動プロセスであり誤報告と確定
  • 特定ユーザー宛スパム着信が多め(88件)。フィルター強化を検討中
  • ディスク使用率43%(全サーバー中最高)。増加傾向があれば対処予定

cPanelサーバー F(新規)

総合: 🟢 正常

  • 稼働開始後まもないサーバー。全サーバー中最もクリーンな状態
  • ディスク使用率2%
  • cPanelアップデート時にタイムプロトコル接続エラー(exit 256)が記録されたが、アップデート自体は正常完了。実害なし

顧客対応

件名:メール認証エラーの繰り返し(da01管理ドメイン)

状況と原因
スマートフォンのメールアプリがAPOP→CRAM-MD5→PLAINの順に認証方式を自動試行する仕様のため、毎回2回の「失敗」ログが記録されていた。パスワード自体は正常。

対応
認証方式の自動試行の仕組みをユーザーに説明し、パスワード再入力による再設定を案内済み。

件名:存在しないアカウント宛の大量認証試行(cPanelサーバー)

状況と原因
ブラジル・ドイツ系のIPアドレスから複数の存在しないメールアカウント宛に認証試行が続いていた。アカウント自体がサーバー上に存在しないため実害はなし。

対応
利用中のドメイン管理者に状況を説明するメールを送信済み。

件名:スパムメールの大量着信(cPanelサーバー)

状況と原因
受信メールの約9割がスパム判定される状態。SpamAssassinとメールフィルターが未設定だった。

対応
ユーザーの希望(スパムボックスへの自動振り分け)を確認後、以下を設定して完了:

  • SpamAssassin有効化(スコア閾値5)
  • vfilterによる[SPAM]件名メールの自動振り分け
  • Spamフォルダ(Maildir形式)の新規作成

設定完了をユーザーに通知し、スパムフォルダの定期削除の必要性も案内済み。

今回判明した知見

cPanel / Dovecot

  • ポート579はcPhulkd(cPanel Hulkブルートフォース保護デーモン)。Dovecotのauth_policyサーバーとして動作する正常なプロセス
  • Dovecot “killed” のlogwatch記録は誤報告パターン。Dovecot本体が子プロセスにSIGTERMを送る正常な再起動でも記録される
  • cPanel内部のIMAP認証ログ__cpanel__service__auth__imap__)は内部サービスによる正常な認証。外部攻撃ではない

セキュリティ

  • oast.funドメインはInteractsh(OOBテストツール)。攻撃者が脆弱性スキャンに使う。ログで確認した場合は偵察フェーズと判断してよい
  • POP3での複数認証方式試行(APOP→CRAM-MD5→PLAIN)は一部メールクライアントの正常な仕様。パスワード誤りと混同しないこと

ImageMagick更新

  • 全cPanelサーバーで6.9.13.25→6.9.13.50へ自動更新が実施された。lfd integrityアラートが出た場合は誤検知のため再確認で対応可

タイムライン

時刻内容
02:09cPanelサーバーFでタイムプロトコル接続エラー(自動アップデート時)
午前全サーバーでImageMagick自動更新実施
午前顧客A:POP3認証エラー説明メール送信
午前顧客B:存在しないアカウント宛攻撃の状況説明メール送信
午後顧客C:スパムフィルター設定希望の返信受信
午後顧客C向けSpamAssassin・vfilter設定完了
午後顧客C:設定完了通知メール送信
午後顧客B(別ドメイン):ブルートフォース攻撃継続のためパスワード強化案内メール送信
タイトルとURLをコピーしました