実施日:2026年7月9日 / 対象日:2026年7月8日
概要
7台のサーバー(cPanel × 5、DirectAdmin × 1、Ubuntu/Coolify × 1)を対象に logwatch ログのパトロールを実施した。重大なインシデントは確認されなかった。顧客起因のメール障害が1件あり、即日対応済み。
| サーバー | 種別 | 判定 | 主な事項 |
|---|---|---|---|
| cPanel A | cPanel | 🟡 対応済み | 顧客メール設定不備(後述) |
| cPanel B | cPanel | 🟢 経過観察 | 特定アカウントへのスパム多め |
| cPanel C | cPanel | 🟢 経過観察 | 全体スパム率やや高め |
| cPanel D | cPanel | 🟢 完了 | 顧客メール設定ミス案内済み |
| cPanel E | cPanel | 🟢 完了 | httpd探索試行は誤検知・実害なし |
| DirectAdmin | DirectAdmin | 🟢 完了 | 定常ノイズのみ |
| 管理サーバー | Ubuntu + Coolify | 🟢 完了 | 異常なし |
注目インシデント詳細
1. 顧客メール障害の誤認 → 即日解決
状況
あるサーバーの Dovecot ログに、特定ドメインのメールアカウント(info@ドメイン)への認証失敗が1日で80件以上記録されていた。接続元IPは単一のOCN固定回線であり、logwatch上では「大量認証攻撃」のように見えた。
調査経緯
- logwatch パトロールで異常を検知
- 接続元IPがCSFのブロックリストに入っていないことを確認
- 逆に CSFの許可リスト(csf.allow)に登録済み であることが判明。lfdが自動ブロックを試みるたびに「deny failed: IP is in the allow file」エラーが出ていた
- 顧客とのメールスレッドを照合し、同IPが 正規ユーザーの固定回線 であると特定
- 認証失敗の原因は「メールソフトに古いパスワードが残ったまま再試行し続けている」と判断
対応
顧客にウェブメールでの動作確認とパスワード再設定を案内。CSF設定の変更は不要と判断し、既存の許可リスト登録を維持した。
教訓
CSF許可リストに登録された固定回線IPからの認証失敗は、攻撃ではなく 顧客側のメール設定不備 である可能性を優先して確認する。ログだけで判断せず、顧客情報と照合するフローが有効だった。
2. httpd パストラバーサル探索 → 誤検知確認
状況
あるサーバーの logwatch が以下の2リクエストを「possible successful probe(攻撃成功の可能性)」として報告した。
/?path=../../../../../../var/www/html/wp-config.php HTTP 200
/?file=../../../../../../var/www/html/.env HTTP 200
調査結果
アクセスログを詳細確認した結果:
- レスポンスサイズが全件 163バイト固定(実ファイルが返るなら容量はバラバラになるはず)
- 当該URLに実際にアクセスした結果、通常のWordPressトップページが返ってきた
- クエリパラメータ(
?path=?file=)はWordPress側で無視されており、ファイルパスとして解釈されていない
送信元
自動スキャナ3IPによる試行と確認。いずれも1日以内に複数の攻撃手法(wp-config.php / .env / php://filter 等)を短時間で試行するパターン。
対応
実害なしのため対応不要と判断。ブロック措置は見送り。
3. DirectAdmin サーバー — メール設定フォーマット誤り
状況
DirectAdmin サーバーで、特定ドメインのメールアカウントへの接続時に以下のエラーが繰り返し記録された。
Username character disallowed by auth_username_chars: 0x2f
(username: ドメイン名/info)
原因
顧客のメールソフトがスラッシュ区切り形式(ドメイン名/ユーザー名)でログインを試みていた。DirectAdmin では ユーザー名@ドメイン名 形式が正しい。cPanel からの移行時に設定を更新し忘れたケースと推測される。
対応
顧客に正しいメール設定を案内済み。
統計サマリー
スパム状況
| サーバー | クリーン | スパム | スパム率 |
|---|---|---|---|
| cPanel A | 43,030件 | 2,182件 | 5% |
| cPanel B | 1,803件 | 529件 | 23% |
| cPanel C | 1,474件 | 1,402件 | 49% |
| cPanel D | 1,715件 | 1,090件 | 39% |
| cPanel E | 3,272件 | 614件 | 16% |
| DirectAdmin | 3,634件 | 1,462件 | 29% |
cPanel C のスパム率が全サーバー中最高(49%)。個別アカウントでは受信メールの80〜100%がスパムというケースも複数存在する。SpamAssassinが正常に分類しているため現時点では実害はないが、長期的にはフィルター強化を検討する余地がある。
SSH ブルートフォース
全サーバーで自動スキャナによる SSH 接触を確認。root・admin・mysql などの一般的なユーザー名を狙った試行がほとんどで、いずれも認証前に切断されている。CSF/lfd が正常に機能しており、実害はなし。
定常ノイズについて(補足)
毎日のパトロールで「異常」に見えるが実際には正常動作である項目をまとめる。
- Dovecot “was killed” ログ — DirectAdmin サーバーで毎回記録されるが、自動再起動されており実害なし。logwatch の誤検知。
- HTTPD 22万件エラー — DirectAdmin サーバーの
AH01071等は bot スキャンによる慢性ノイズ。件数の急変がなければ正常。 - a800 iptables 大量ブロック — 自サーバーIPへのアウトバウンドブロックは、許可ポート外へのアクセスを設計通りブロックしているもの。
- wp-toolkit の sudo セッション多発 — 全サーバーで毎日数百〜数千回記録されるが、WordPress Toolkit の定常動作。
本レポートは実際の運用記録をもとに、顧客情報・ドメイン名・IPアドレス等を匿名化して作成しています。
