マルチサーバー環境(cPanel×5台・DirectAdmin×1台)の日次logwatch巡回記録。 3人チーム(人間1名+AI 2名)で実施。
サマリー
| サーバー | パネル | 判定 | 主な所見 |
|---|---|---|---|
| SV-1 | cPanel | ✅ 異常なし | スパム率26%(全台中最良) |
| SV-2 | cPanel | ⚠️ 軽微 | Exim CPU高負荷(スパム処理起因)/ Dovecot “killed”(誤検知) |
| SV-3 | cPanel | ✅ 異常なし | スパム率59%だが検知処理済 |
| SV-4 | cPanel | ⚠️ 軽微 | スパム率60%(全台中ワースト)/ Dovecot disconnect約2万件 |
| SV-5 | cPanel | ⚠️ 要対応 | mod_proxy悪用IP(新規)を検出→全台ブロック |
| SV-6 | DirectAdmin | ⚠️ 軽微 | SMTP認証攻撃5,800件超 / クライアント設定ミス2件 |
全サーバー共通の対応
1. mod_proxyを悪用するIPのブロック(2件)
前回セッションで検出済みのIP-Aに加え、今回新たにIP-Bを検出。
| IP | 悪用内容 | 対応 |
|---|---|---|
| IP-A | google.com / baidu.comへのプロキシ試行 | 前回ブロック済(6台全て) |
| IP-B | easyproxy.xyzへのプロキシ試行+ポートスキャン | 今回新規ブロック(6台全て) |
mod_proxyへのアクセス試行は、外部のオープンプロキシスキャナーが自動的に行っているもの。cPanelのデフォルト設定ではmod_proxyが有効なため、定期的にこの種の試行が発生する。
対応手順:
csf -d [対象IP] "mod_proxy abuse [踏み台先] [日付]"
csf -r
全サーバーで同一IPをブロックすることで、検出したサーバー以外への横展開を防止する。
2. SSHブルートフォースの状況
| サーバー | 試行数 | ユニークIP数 | 成功 |
|---|---|---|---|
| SV-1 | 92件 | 30 | なし |
| SV-2 | 459件 | 40 | なし |
| SV-3 | 85件 | 31 | なし |
| SV-4 | 127件 | 42 | なし |
| SV-5 | 49件 | 34 | なし |
| SV-6 | — | — | 管理者のみ |
全サーバーで成功ログインは管理者IPのみ。CSF/LFDによる自動ブロックが正常に機能している。
各サーバー詳細
SV-1(cPanel)— ✅ 異常なし
- Dovecot:配信1,834件 / disconnect 5,160 / killed なし
- SpamAssassin:clean 74% / spam 26%
- Exim CPU:1h13m(通常範囲)
- ディスク使用率:18%
- 特記事項なし
SV-2(cPanel)— ⚠️ 軽微
- Dovecot:配信1,197件 / disconnect 7,705 / “killed”表示(既知の誤検知パターン)
- SpamAssassin:clean 47% / spam 53%
- Exim:final-sigterm timeout発生、CPU 1h45m(スパム処理負荷が原因と推定)
- ディスク使用率:30%
- 特定アカウントにスパムが集中(最大353件/日)→ catch-all見直しは低優先度
Dovecot “killed” について: logwatchが「Dovecot was killed, and not restarted afterwards」と表示するケースがあるが、systemctl status dovecot で正常稼働を確認できれば誤検知。cPanelのサービス管理がDovecotを一時的に再起動した際、logwatchがその過程を「killed」と誤認識する既知のパターン。
SV-3(cPanel)— ✅ 異常なし
- Dovecot:配信1,197件 / disconnect 7,705 / killed なし
- SpamAssassin:clean 41% / spam 59%
- ディスク使用率:28%
- 特定アカウントにスパム集中(最大202件/日)→ SpamAssassinで検知処理済
SV-4(cPanel)— ⚠️ 軽微
- Dovecot:配信1,656件 / disconnect 19,811(全台中最多)/ killed なし
- SpamAssassin:clean 40% / spam 60%(全台中ワースト)
- Exim CPU:1h22m / Dovecot CPU:30m47s
- ディスク使用率:31%
- 特定アカウントにスパム550件/日が集中 → SpamAssassinで検知済
高disconnect数の考察: disconnect数が約2万件に達した原因は、スパム送信元ボットがSMTP接続を大量に張っては切断するパターンによるもの。SpamAssassinが全件検知しているため、受信ボックスへの到達は防止されている。
SV-5(cPanel)— ⚠️ 要対応
- Dovecot:配信3,109件 / disconnect 5,508 / “killed”(誤検知)
- SpamAssassin:clean 83% / spam 17%(全台中2位の良好率)
- ディスク使用率:41%(全台中最高だが問題なし)
- mod_proxy悪用IP(新規)を検出 → 全サーバーでCSFブロック実施
SV-6(DirectAdmin)— ⚠️ 軽微
- Dovecot:disconnect 8,792 / killed なし
- SSH:管理者IPのみ(完全クリーン)
- SMTP認証攻撃:5,817件(クレデンシャルスタッフィング、全件拒否)
- Exim中継拒否:1,043件 / HELO偽装拒否:625件
- SpamAssassin:clean 73% / spam 27%
- ディスク使用率:8%(全台中最低=最も余裕あり)
クライアント設定ミス2件を検出:
| 問題 | 原因 | 対応 |
|---|---|---|
ユーザー名に / を含む形式で認証試行(150回/日) | メールソフトのアカウント名に ドメイン名/ユーザー名 と入力 | クライアントに設定修正メールを送付 |
| ユーザー名にフルネーム(スペース入り)で認証試行(34回/日) | Outlookのユーザー名欄にメールアドレスではなく氏名を入力 | 既に別件として対応済み(解決確認) |
SpamAssassin検知率の比較
| サーバー | clean | spam | スパム率 | 評価 |
|---|---|---|---|---|
| SV-1 | 1,182 | 420 | 26% | ◎ |
| SV-5 | 2,779 | 553 | 17% | ◎ |
| SV-6 | 2,425 | 889 | 27% | ○ |
| SV-2 | 942 | 1,079 | 53% | △ |
| SV-3 | 694 | 1,017 | 59% | △ |
| SV-4 | 1,270 | 1,943 | 60% | ✗ |
スパム率の高いサーバーでは、特定の数アカウントにスパムが集中している傾向がある。catch-all設定が有効なアカウントでは、存在しないアドレス宛のスパムもすべて受信してしまうため、スパム数が膨らむ。
教訓・ナレッジ
mod_proxyスキャンは継続的に来る
前回(IP-A)と今回(IP-B)、短期間に異なるIPから同じ手法のmod_proxyスキャンが発生した。これはインターネット上のオープンプロキシスキャナーが自動的に巡回しているためで、今後も定期的に新しいIPから試行が来る。
対策の定石:
- logwatchのhttpdセクションで
Connection attempts using mod_proxyを毎日チェック - 検出したIPは全サーバーで一括ブロック
- 根本対策としてはmod_proxyへの外部アクセスを制限する設定も検討可能
クライアント設定ミスはログから能動的に検出できる
Dovecotの Username character disallowed エラーを定期チェックすることで、メールが使えずに困っているクライアントを先回りで発見・支援できる。今回の2件はいずれもクライアント側からの問い合わせがなく、サーバーログから能動的に検出したもの。
検出パターン:
0x2f(スラッシュ)→ドメイン名/ユーザー名形式の設定ミス0x20(スペース)→ ユーザー名欄に氏名を入力するミス
Dovecot “killed” は焦らない
logwatchの「killed, and not restarted」は、cPanelが内部的にDovecotを再起動する過程で発生する誤検知パターン。systemctl status dovecot で稼働中であれば問題なし。毎回確認するが、対応は不要なケースがほとんど。
タイムライン
| 時刻 | 作業内容 |
|---|---|
| 巡回開始 | 前回セッションの引き継ぎ資料を確認 |
| — | SV-1 logwatch確認 → 異常なし |
| — | SV-6(DA)logwatch確認 → SMTP認証攻撃5,800件+クライアント設定ミス2件検出 |
| — | クライアント設定ミスの調査コマンド実行 → アカウント特定 |
| — | クライアント通知メール作成(1件は既に対応済みと判明、1件は送付) |
| — | SV-5 logwatch確認 → mod_proxy悪用IP(新規)検出 |
| — | IP-B を全6サーバーでCSFブロック |
| — | SV-4 logwatch確認 → スパム率60%(経過観察) |
| 巡回完了 | 全6サーバー巡回完了・公開レポート作成 |
このレポートは、実際のサーバー運用で得られた知見を匿名化して公開しています。IPアドレス・ホスト名・顧客ドメイン・顧客名はすべて伏せています。
