公開日: 2026-06-28 対象期間: 2026-06-27(1日分) 対象: cPanelサーバー6台 + DirectAdminサーバー1台(計7台)
サマリー
| サーバー | 判定 | スパム率 | ディスク | FWブロック | 特記 |
|---|---|---|---|---|---|
| cPanel-A | 🟢 正常 | 36% | 17% | 29,104 pkt / 7,082 IP | SSHスキャナー検出 |
| cPanel-B | 🟢 正常 | 47% | 31% | 22,340 pkt / 4,341 IP | SSH root brute 117IP |
| cPanel-C | 🟡 注意 | 69% | 29% | 28,408 pkt / 4,969 IP | スパム率最悪・SSHスキャナー検出 |
| cPanel-D | 🟡 注意 | 65% | 35% | 22,994 pkt / 4,552 IP | 1アカウント505通スパム |
| cPanel-E | 🟢 正常 | 15% | 38% | 13,059 pkt / 169 IP | PW認証有効(意図的) |
| cPanel-F | 🟢 正常 | — | — | — | 移行先新サーバー・稼働確認済 |
| DA-G | 🟢 正常 | 45% | 8% | 43,014 pkt / 807 IP | HTTPD error 28万件(ボット) |
全サーバーで侵入・不正ログイン成功はゼロ。
サーバー別詳細
cPanel-A(スパム率36% — 最良グループ)
SSH大規模スキャン検出。 単一IPから381回の接続試行があり、SSHDのMaxStartupsスロットリングが56分間発動。認証試行はゼロで、接続→即切断の典型的なポートスキャンパターン。SSHDの自動防御で全件drop済み。
Dovecotへのブルートフォースは17アカウントに対して計150回超。全件auth_failed、複数の海外IPからの分散型辞書攻撃。侵入なし。
メール面では全体の36%がスパム。SpamAssassinで検出・処理済み。特定1アカウントが受信の69%をスパムに占められており、Dovecotブルートフォースのターゲットにもなっている。
パッケージ更新として cpanel-monitoring-plugin と epel-release が自動適用。
cPanel-B(移行中サーバー・スパム率47%)
別サーバーへの移行作業中。管理者のSSHセッションが48回記録されており、移行作業に伴うもの。
SSH root ブルートフォースが117の異なるIPから。 他サーバーではSSHDのpenalty dropとして処理されている同種の攻撃が、このサーバーではPAM認証失敗として記録されている。これはPasswordAuthenticationが有効であるため。全件CSF/LFDでブロック済み、個々のIPは6〜8回の試行で遮断されている。
Apacheのmod_proxyを悪用しようとする外部プロキシ試行が2件検出。後述のクロスサーバーパターンの一部。
cPanel-C(スパム率69% — 全サーバー最悪)
受信メールの7割がスパム。 特定1アカウントだけで184通のスパムを受信しており、サーバー全スパムの10%を単独で占める。受信メールが全てスパム(clean=0)のアカウントも10件存在し、実質使われていないメールアドレスがスパムのゴミ箱として機能している状態。
cPanel-Aと同じIPからのSSH大規模スキャンが検出され、こちらはさらに激しく1,893回のdrop。MaxStartupsスロットリングが3回発動(最長41秒間で449接続をdrop)。認証試行ゼロ、実害なし。
SpamAssassinの一時ファイル競合エラーが1件(/tmp の unlink 失敗)。再発しなければ無害。
cPanel-D(スパム率65%・1アカウント505通)
全サーバー全アカウントで最多のスパム受信。 1つのcPanelアカウントに505通のスパムが集中(スパム率93%)。他にも328通、264通、210通と大量受信するアカウントが複数存在。clean=0のアカウントも10件。
IMAP/POP3のログイン数が117,905回と全サーバー中突出しており、メール利用の集中するサーバー。メール配信数も3,278通で最多。スパムフィルタ強化の効果が最も大きいサーバーといえる。
cPanel-A/Cと同じIPからのSSHスキャンが565回(MaxStartups 1回発動、40分46秒で307接続drop)。
cPanel-E(スパム率15% — 全サーバー最良)
全サーバー中最もクリーンな状態。スパム率15%は他サーバーの半分以下。ただし自社運用アカウントの1つが201通のスパムを受信しており(正規受信わずか1通)、実質的に死んだメールアドレス。
PasswordAuthentication が意図的に有効化されているサーバー(特定ユーザーのアクセス用)。SSHブルートフォースは18IPから発生しているが、全件CSF/LFDでブロック済み。
他サーバーで検出されたSSH大規模スキャナー(後述)はこのサーバーには到達していない。IPレンジが異なるため。
cPanel-F(移行先新サーバー)
今月構築された新サーバー。移行済みアカウントのPOP3/IMAP接続が正常に動作していることを確認。
logwatchは構築時からHTML形式で設定済み。ただし今回のパトロールでは、logwatchレポートのDovecotセクションがUnmatched Entries(POP3ログイン行の大量出力)で肥大化しており、他セクションの情報が埋もれていた。logwatch自体は正常動作しているが、Dovecotパーサの出力量が移行直後のログイン集中で膨らんだ形。
追加確認として、構築時に欠落していたchrony(時刻同期)の稼働状態を再検証 → 正常同期を確認。
DA-G(DirectAdmin・スパム率45%)
HTTPD error が1日で約28万件。 調査の結果、98.6%が Primary script unknown(存在しないPHPファイルへのアクセス)で、Azure帯のボットがサーバーIP直叩きでスキャンしているものだった。特定の顧客ドメインには影響なし。デフォルトvhostへの外部ボットによるノイズであり、実害なし。
DirectAdminのメモリピークがsystemd cgroup上で11.8GBを記録していたが、確認時点のRAM実消費は2.4GB/15GBで余裕あり。ピークは一過性のもので、userd残留プロセスもfailedユニットも解消済み。
passwd_alt 欠落を182ドメインで修正。 cPanel→DirectAdmin移行時に、DA固有の認証ファイル(passwd_alt)が生成されない問題を発見。Dovecotが毎回「missing passwd file」エラーを出力していた。指定3ドメインの修正後、全ドメインスキャンで182件の欠落を追加検出。空ファイル(mail:mail / 640)を一括作成し、全189ドメインでpasswd=passwd_altの1対1完備を確認。
クロスサーバー攻撃パターン
今回のパトロールで、複数サーバーにまたがる2つの攻撃パターンを確認した。
パターン1: SSH大規模ポートスキャナー
単一のIPアドレスが、特定のIPレンジに属する3台のcPanelサーバーを同日にスキャンしていた。
- cPanel-A: 381回drop(MaxStartups 56分間)
- cPanel-C: 1,893回drop(MaxStartups 3回発動)
- cPanel-D: 565回drop(MaxStartups 40分間)
別のIPレンジに属する cPanel-B と cPanel-E には到達していない。攻撃者はVPSプロバイダのIP帯を順番にスキャンしているものと推定される。全件で認証試行ゼロ(接続→即切断のポートスキャン)、SSHDの自動防御で処理済み。
パターン2: mod_proxy プロキシ悪用試行
同一IPが3台のサーバー(cPanel-B、cPanel-D、DA-G)でApacheのmod_proxyを踏み台にして外部サイト(easyproxy系)へ接続しようとしていた。各サーバー1〜2回の試行で、Apacheが拒否。実害なし。
教訓・知見
cPanel→DA移行時の passwd_alt 問題
cPanelからDirectAdminへの移行では、DA固有の /etc/virtual/ドメイン/passwd_alt ファイルが自動生成されない。cPanel側にこのファイルの対応物が存在しないため、移行スクリプトがpasswdは変換するがpasswd_altは新規生成しない。
Dovecotは認証時にpasswd_altを参照するため、欠落しているとエラーログが出続ける。認証自体はpasswdファイルで動作するので実害はないが、ログノイズとなる。
対処: 空ファイルを mail:mail / 640 で作成するだけで解消。DA正常時と同一の状態であり、メール認証への影響なし。切り戻しも find /etc/virtual/ -name passwd_alt -empty -delete で即座に可能。
教訓: cPanel→DA移行後の標準チェックリストに「passwd_alt 一括確認」を追加すべき。
DA環境のHTTPD error 大量発生
DirectAdmin環境で HTTPD error が1日28万件出ていたが、98.6%はボットによるIP直叩きスキャン(Primary script unknown)。cPanel環境ではこの種のアクセスはcPanelのプロキシ層で吸収されるが、DAではApache error_logに直接記録される。
実害はないが、logwatch上で目立つためパニックを引き起こしやすい。DAサーバー固有のノイズとして認識しておくべきポイント。
スパム率のサーバー間格差
同一運用のcPanelサーバー間でスパム率が15%〜69%と大きく開いている。これはサーバーごとの顧客構成(公開メアドの多寡・メアドの使用年数)に依存するもので、サーバー設定の差ではない。
受信メールが全てスパム(clean=0)のアカウントが複数サーバーに合計30件超存在し、実質使われていないメールアドレスがスパムの受け皿になっている。これらのアカウントのスパム受信処理がサーバーリソースを消費しており、vfilterによる /dev/null 送りや受信停止が検討に値する。
OpenSSH 9.9 の sshd → sshd-session リネーム
OpenSSH 9.9p1 以降、sshd プロセスが sshd-session にリネームされている。logwatch の Connections セクションで sshd-session: Disconnected from... という形式で記録されるため、CSFのregex.custom.pmを更新していないとSSH認証失敗の検知漏れが起きる。全cPanelサーバーでこの形式が確認されており、対応済み。
タイムライン
| 時刻 | 内容 |
|---|---|
| 03:27〜04:42 | 各サーバーの logwatch 生成(前日分) |
| 午前 | パトロール開始・7サーバー分のlogwatch解析 |
| 午前 | DA-G: HTTPD error 28万件 → ボットノイズと判定(対処不要) |
| 午前 | DA-G: メモリピーク11.8GB → 一過性と確認(現在2.4GB) |
| 午前 | DA-G: passwd_alt 3件修正 → 全ドメインスキャンで182件追加検出 |
| 午前 | DA-G: passwd_alt 182件一括作成 → 全189ドメイン完備確認 |
| 午後 | cPanel-F: logwatch設定確認 → 構築時から導入済み・変更不要 |
| 午後 | 全7サーバーのパトロール完了・横断分析 |
このレポートは販売開発のサーバー運用から得られた実データに基づいています。サーバーIP、ホスト名、SSHポート、顧客ドメイン・メールアドレス・アカウント名は非公開としています。
