実施日:2026年6月18日 対象:cPanelサーバー5台・DirectAdminサーバー1台・Ubuntu VPS 1台(計7台)
サマリー
| カテゴリ | 件数 | 結果 |
|---|---|---|
| SSH攻撃ブロック(新規) | 11 IP | ✅ 完了 |
| DENY_IP_LIMIT 引き上げ | 4台 | ✅ 2000→3000 |
| DNS設定変更 | 1件 | ✅ 完了 |
| 異常プロセス調査 | 2件 | ✅ 誤検知・正常確認 |
| 緊急対応(高負荷) | 1件 | ✅ 原因特定・緩和措置 |
| 監視継続事項 | 5件 | 👀 継続中 |
全サーバーでDovecot・SSH・Webサービスの正常稼働を確認。重大インシデントなし。
各サーバー詳細
サーバー A(cPanel)
ディスク使用率:38% スパム率:通常範囲
- SSH LoginGraceTime超過攻撃(1 IP)を検知・csf.deny 登録
- Dovecot認証失敗:特定ユーザー(複数IP)— パスワード誤設定の可能性あり、監視継続
サーバー B(cPanel)
ディスク使用率:27% スパム率:51%
- SSH LoginGraceTime超過攻撃(5 IP)を検知・csf.deny 登録
- 外部ブルートフォース IP(1件)を csf.deny 登録
- DENY_IP_LIMIT 2000→3000 に引き上げ(エントリ押し出し発生のため)
- lfd CPU 17分消費 — SSH攻撃量増加による処理負荷(正常範囲)
- 特定アカウントの認証失敗多発 — 監視継続
サーバー C(cPanel)
ディスク使用率:29% スパム率:54%
- SSH LoginGraceTime超過攻撃(2 IP)を検知・csf.deny 登録(うち1件はlfd自動ブロック済み確認)
- DENY_IP_LIMIT 2000→3000 に引き上げ
- mod_proxy 悪用試行(2件)— CSFが遮断済み
- SpamAssassin 一時ファイル削除エラー 1件 — 軽微・再発なければ放置
サーバー D(cPanel)
ディスク使用率:15% スパム率:24%(全サーバー中最低)
- SSH LoginGraceTime超過攻撃(1 IP)を検知・csf.deny 登録
- DENY_IP_LIMIT 2000→3000 に引き上げ
- Dovecot policyサーバー一時接続エラー 1件 — 再発なしのため監視継続
サーバー E(cPanel)
ディスク使用率:31% スパム率:45%
- lfd メモリスパイク(676.9MB)を検知・調査
- 原因:SpamAssassin の razor2 子プロセスが複数同時起動(各257MB×複数)
- 実害なし(物理メモリ 7.5GB 中 available 5.0GB 確保)
- 根本対処(razor2無効化)は別途検討
- DENY_IP_LIMIT 2000→3000 に引き上げ(2,018件でLIMIT超過を確認)
- httpd:ディレクトリトラバーサル試行・wp-config.php 探索(400/403で遮断済み)
- パッケージ自動更新完了(imunify-wp-security 4.0.1)
サーバー F(DirectAdmin)
ディスク使用率:8% スパム率:30%(全サーバー中最良)
- 停止ドメインの MX レコード削除
- 利用期限切れで停止中のドメイン(nogaminet.com)の MX が残存
- 各社メルマガサービスからのリトライが 2,870件/日 発生しサーバー負荷となっていた
- ゾーンファイルから MX レコードを削除・SPF修正・シリアル更新・named リロード
- TTL消化(最大1時間)後にリトライ停止見込み
- Dovecot 辞書攻撃:
info(70回)info.info(33回)など存在しないユーザー名での大量試行 — CSFが自動遮断 - 実アカウントの認証失敗多発 — 監視継続
- Webmin ブルートフォース → CSF自動ブロック済み
サーバー G(Ubuntu 24.04 VPS)
- lfd アラート誤検知を調査・解消
tcpdumpユーザー名で PostgreSQL(Supabase)が動作しているため lfd が誤検知- 101通のアラートメールが送信される事態に
- 不正アクセスなし・不審プロセスなし・ログイン履歴正常を確認
- 根本対処:lfd の除外設定に
tcpdumpユーザーを追加(別途対応)
- 高負荷対応(ロードアベレージ 58超)
- 原因:ベクトル化処理(Celery worker)が CPU 570%・メモリ 1.3GB を消費
- スワップ使用量が 8GB 中 6.4GB に達し OOM リスクあり
- 対処:スワップを 4GB 追加(8GB→12GB)し緩衝材を確保
- 処理自体は正常動作のため継続(翌日完了見込み)
今回の教訓
1. DENY_IP_LIMIT は定期的な見直しが必要
今回 4台で「DENY_IP_LIMIT = 2000」の上限超過によるエントリ押し出しを確認。LoginGraceTime 型の SSH 攻撃が複数サーバーで同時多発しており、攻撃量増加に合わせて上限引き上げ(2000→3000)を実施した。攻撃 IP が IPSET 管理されているサーバーではメモリ・パフォーマンスへの影響は軽微。
2. 停止ドメインの DNS 後片付けはサーバー負荷軽減に直結する
ドメイン停止後も MX レコードが残存すると、各社メルマガサービスが数日間リトライし続けサーバーの SMTP 処理負荷となる。停止確定後は速やかに MX を削除し、送信側に永続エラーを返すことで無駄な負荷を排除できる。
3. lfd の誤検知パターンを把握しておく
ユーザー名が OS コマンド名(tcpdump 等)と一致する場合、lfd が「危険なプロセス」として誤検知する。Supabase 等のコンテナ環境では内部ユーザー名に注意が必要。除外設定の整備が根本対処。
4. razor2 による SpamAssassin メモリ消費
複数ユーザーのメール処理が重なると razor2 子プロセスが同時起動しメモリスパイクを起こす。今回は available メモリが十分あり実害なかったが、メモリの少ないサーバーでは razor2 無効化を検討する。
タイムライン
| 時刻(JST) | 対応内容 |
|---|---|
| パトロール開始 | 各サーバーの logwatch ログ収集・分析開始 |
| 17:25 | サーバーA:SSH攻撃IP csf.deny 登録完了 |
| 〃 | サーバーB:6IP csf.deny 登録・DENY_IP_LIMIT 3000 完了 |
| 〃 | サーバーC:2IP csf.deny 登録・DENY_IP_LIMIT 3000 完了 |
| 〃 | サーバーD:1IP csf.deny 登録・DENY_IP_LIMIT 3000 完了 |
| 〃 | サーバーE:lfd調査・DENY_IP_LIMIT 3000 完了 |
| 17:06 | サーバーG:lfd RELAY アラート受信(tcpdump誤検知) |
| 17:15 | サーバーG:ロードアベレージ 58 超のアラート受信 |
| 〃 | サーバーG:原因調査→Celery worker特定・スワップ4GB追加 |
| 17:47 | サーバーF(DirectAdmin):logwatch 受信・分析開始 |
| 18:00頃 | サーバーF:nogaminet.com MX削除・named リロード完了 |
| 18:18 | 全サーバー対応完了 |
本レポートは実運用環境のパトロール記録を匿名化・一般化したものです。IPアドレス・ドメイン名・顧客情報は記載していません。
