実施日:2026年6月27日(対象ログ:2026年6月26日分) 対象:8サーバー(VPS・cPanel・DirectAdmin混在環境)
サマリーテーブル
| サーバー種別 | ディスク使用率 | スパム率 | SSH攻撃 | 総合評価 |
|---|---|---|---|---|
| Ubuntu VPS(監視基盤) | 9% | — | 外部0件 | ✅ 正常 |
| cPanel #1 | 15% | 26% | 多数・遮断済み | ✅ 概ね正常 |
| cPanel #2(移行元) | 32% | 44% | 組織的攻撃・遮断済み | ⚠️ 移行中 |
| cPanel #3 | — | 52% | 多数・遮断済み | ⚠️ 要対応 |
| cPanel #4 | 36% | 48% | 少数 | ⚠️ 要対応 |
| cPanel #5 | 46% | 11% | 組織的攻撃・遮断済み | ⚠️ 要注意 |
| cPanel #6(移行先) | 6% | 39% | 少数 | ✅ 正常 |
| DirectAdmin | 8% | 34% | 外部0件 | ✅ 正常 |
1. セキュリティ状況
SSH ブルートフォース攻撃
本日は複数サーバーで 130.12.181.97〜109 のサブネットと 77.83.39.x のサブネットからの組織的スキャンが同時に確認された。同一IPレンジが複数サーバーを横断してスキャンしており、単一の攻撃者グループによる組織的な試みと推定される。
142.93.130.117:cPanel #5 に対して14回連続試行。SSHDのMaxStartupsが2回発動し、うち1回は28分30秒のthrottlingが継続した203.212.9.221:LoginGraceTime超過によるドロップが12回118.196.48.68:LoginGraceTime超過によるドロップが4回
いずれも CSF(ConfigServer Security & Firewall)が機能しており、実際の侵入成功は全サーバーで0件。
Dovecot 認証失敗
メールサーバーへのブルートフォース試行も継続中。特に:
dada@[ドメイン]への試行が複数IP・複数ポートから継続(cPanel #3)[ユーザー名]@matsubox.comへの中国系IPからの大量試行(cPanel #3)- DirectAdminサーバーでは存在しないアカウント名(oq6_2nbq、order-update 等)への試行が多数
全て認証失敗に終わっており被害なし。
rkhunter 警告(Ubuntu VPS)
/usr/bin/perl のハッシュ変更が検知された。調査の結果、6月12日のaptアップグレードに伴うバイナリ更新によるものと確認。rootkit検出0件。rkhunter --propupd でDBを更新し解消済み。
2. スパムメール状況
全サーバー合算
| 指標 | 数値 |
|---|---|
| 正常メール合計 | 約17,000通 |
| スパム判定合計 | 約8,200通 |
| 平均スパム率 | 約33% |
深刻なアカウント(スパム率80%超)
複数のホスティングアカウントでスパム率が極めて高い状況が確認された。主な要因はメールアドレスの漏洩と思われ、世界各地のIPから認証試行が継続している。
対応方針:
- 既に対応済み:スパムフォルダ振り分けフィルターを設定し、お客様に通知
- 案内済み・返信待ち:複数アカウントでお客様の意向確認中
- 新規対応:本日新たに1アカウントにフィルターを設定完了(blog@アドレス削除・job@アドレスにフィルター設定)
cPanel #3 の状況
8サーバー中最もスパム率が高く52%。特定アカウントでは正常メール1通に対しスパム100通超という状況が確認されており、スパムフィルターの適用が急務。お客様への案内を順次実施中。
DirectAdmin サーバー
アカウント数が最も多いが、スパム率34%と比較的良好。passwd_alt ファイル欠損に伴うDovecotのエラーが複数ドメインで出ているが、DirectAdmin環境固有の既知パターンであり実害なし。
3. 今日の対応事項
完了したこと
- rkhunter DB更新(Ubuntu VPS):perl バイナリ更新に伴う警告を解消
- メールアカウント削除:お客様の依頼により未使用アカウント1件を削除
- スパムフィルター設定:特定アカウントへのvfilter設定完了(アカウントレベル)
- お客様への案内メール:スパム多発アカウント1件の担当者へ新規案内を送信
- a800 Dovecot 状態確認:logwatchの「killed」警告を調査、サーバー再起動に伴う正常な停止・起動と確認
進行中・返信待ち
- スパムフィルター設定についてお客様4件の返信待ち
- 不正アクセス警告を送付したアカウント1件の返信待ち
4. 今日の技術的知見
vfilter のドメインレベルとアカウントレベルの使い分け
cPanel/Exim の vfilter 設定において、特定メールアドレスだけにフィルターを適用する場合はアカウントレベルのパスを使う必要がある。
ドメイン全体に適用:/home/[user]/etc/[domain]/filter
特定アドレスのみ: /home/[user]/etc/[domain]/[mailuser]/filter
今回の作業でドメインレベルに誤って書きそうになった箇所を実行前に検出・修正。ドキュメント化してチームで共有済み。
rkhunter のハッシュ警告パターン
apt upgrade 後に rkhunter が「ハッシュ変更」を警告するのはパッケージ更新による正常な変化。対処は rkhunter --propupd [ファイルパス] でDBを更新するだけでよい。rootkit検出0件であることを必ず確認してから実行すること。
5. 作業タイムライン
| 時刻 | 作業内容 |
|---|---|
| 06:25〜 | 各サーバーlogwatch受信・パトロール開始 |
| 午前中 | 全8サーバーのlogwatch分析・ダッシュボード作成 |
| 〃 | rkhunter 警告調査・DB更新完了 |
| 〃 | お客様返信確認(3件)・pinkpara 対応完了 |
| 〃 | a800 Dovecot 状態確認・正常を確認 |
| 〃 | shadelex スパムフィルター案内メール送信 |
| 〃 | 知見ファイル2件をチーム共有フォルダに保存 |
本レポートはIPアドレス・ドメイン名・アカウント名・個人情報を匿名化しています。 運用チーム内部資料を元に作成。
