対象日:2026年6月21日(日) パトロール実施:2026年6月22日(月) 担当:チームしずく
サマリー
| 項目 | 数値 |
|---|---|
| パトロール対象サーバー数 | 8台 |
| 検出インシデント | 0件(実害なし) |
| 対応済み案件 | 12件 |
| 顧客通知 | 2件 |
| 新規 CSF deny 追加 | 8件 |
| 知見ファイル保存 | 8件 |
全サーバーで重大インシデントなし。不正ログイン成功ゼロを確認。
サーバー別パトロール結果
サーバー1(Ubuntu 24.04 VPS)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 10% |
| Dovecot | 正常稼働 |
| SSH | 管理者アクセスのみ |
| 特記 | rkhunter Suggested Inspection 3件 |
対応内容
rkhunter の警告3件を調査。全て false positive と確定した。
/usr/bin/lwp-request→ libwww-perl の仕様によるもの。SCRIPTWHITELISTのコメント解除で解消- SSH
PermitRootLogin: prohibit-passwordと rkhunter 設定の不一致 →ALLOW_SSH_ROOT_USER=prohibit-passwordに変更(実態は鍵認証のみで安全) /etc/.updatedhidden file → systemd-update-done が自動生成する正常ファイル。ALLOWHIDDENFILEに追加
rkhunter --propupd 実行後、再チェックで Warnings: 0 を確認。
新規知見:新規サーバー構築時の rkhunter 初期設定として、ALLOW_SSH_ROOT_USER の実態合わせ・libwww-perl の SCRIPTWHITELIST 許可・/etc/.updated の ALLOWHIDDENFILE 追加・初回 propupd の4点を実施しておくとログノイズを防げる。
サーバー2(cPanel / AlmaLinux 9)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 38% |
| Dovecot 配信 | 6,074件 |
| SSH 認証失敗 | 約50件(全遮断) |
| 特記 | ImageMagick 自動更新、mod_proxy 試行 |
対応内容
mod_proxy 経由で外部サービスへのオープンプロキシ悪用試行(2回)を検出。送信元IPを CSF deny に追加した。ImageMagick が新バージョンに自動更新されており、lfd がインテグリティ警告を出していたが false positive。CSF DB 更新 + lfd 再起動で解消。
Dovecot の “was killed” 表示はこのシリーズのサーバーでは既知の false positive。
サーバー3(cPanel / AlmaLinux 9)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 31% |
| Dovecot 認証失敗 | 109件 |
| SpamAssassin スパム率 | 57% |
| 特記 | 南米系IPによる分散攻撃 |
対応内容
南米(ブラジル・アルゼンチン等)から分散した複数IPが特定アカウントを標的に認証試行。不正ログイン成功0件を確認後、主要5IPを CSF deny に追加した。
lfd がピーク時に通常の約20倍のメモリを消費していたが、翌日確認で正常値に回復。大量ブロック処理による一過性のものと確定。
サーバー4(cPanel / AlmaLinux 9)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 29% |
| Dovecot ログイン成功 | 13,305件(最多) |
| SpamAssassin スパム率 | 70% |
| 特記 | Dovecot process_limit 到達、lfd 695MB |
対応内容
Dovecot の imap process_limit(512)に到達するエラーが1件発生。翌日確認で現在接続数 10・imap プロセス数 3と余裕があり、前日の一時スパイクと確定。即時の limit 引き上げは不要と判断。
lfd のピークメモリが695MBと高値を記録したが、翌日45MBで正常回復。mod_proxy 悪用試行も1件検出し deny 追加。
顧客アカウントのメール認証が特定端末から3時間おきに繰り返し失敗していることを確認。調査の結果、10年以上前に削除した古いアカウントへ家電製品のメール連携機能がアクセスし続けていたことが判明。顧客が該当機能をオフにして解決。
サーバー5(cPanel / AlmaLinux 9)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 15% |
| Dovecot 認証失敗 | 65件 |
| SpamAssassin スパム率 | 31%(本日最良) |
| 特記 | 単一IPからのブルートフォース、ImageMagick 更新 |
対応内容
単一IPから2秒間隔の高速連続試行(65件)を検出。不正ログイン成功0件を確認後、即座に CSF deny を追加。ImageMagick 更新による lfd インテグリティ警告は false positive として解消。
PHP-FPM が前日に20時間超のCPUを消費していたが、翌日確認で正常回復。特定のサイトが原因と推定され継続ウォッチ対象とした。
サーバー6(DirectAdmin / Linux)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 8% |
| Dovecot ログイン成功 | 11,981件 |
| Exim 拒否リレー | 4,809件 |
| SpamAssassin スパム率 | 45% |
| 特記 | HTTPD Errors 175,471件、passwd_alt 欠損 |
対応内容
HTTPD エラーが175,471件と大量に記録されていたが、Apacheエラーログを直接確認したところ98.5%が AH01071 Primary script unknown(存在しないPHPファイルへのリクエスト)だった。送信元が全てクラウドサービスのIPレンジであることを確認。ボット/スキャナーによるPHPファイル探索で、正常に404/500として拒否されていた。
2ドメインで /etc/virtual/[domain]/passwd_alt ファイルが存在せず、Dovecot がエラーを繰り返し記録していた。空ファイルを適切なパーミッション(mail:mail / 600)で作成して解消。
SSH アクセスは管理者のみで外部不審アクセスなし。
サーバー7(cPanel / AlmaLinux 9.8 ・新規構築)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 2% |
| 特記 | 初回 logwatch、新規構築直後 |
対応内容
新規構築サーバーの初回パトロール。logwatch 自体がこの日に初めて導入された。
Dovecot の policy server HTTP 500 エラー3件・SpamAssassin の child kill 2件はいずれも初期安定化期間の一過性のもの。Systemd の /var/run パス参照警告はcPanelのアップデートで自然解消される見込み。cPanel 内部サービスの IMAP ヘルスチェックによる大量の内部ログインは正常動作。
SSH アクセスは管理者のみで外部不審アクセスなし。
サーバー8(cPanel / AlmaLinux 9)
判定:🟢 正常
| 項目 | 結果 |
|---|---|
| ディスク使用率 | 32% |
| Dovecot ログイン成功 | 74,048件(本日最大) |
| SpamAssassin スパム率 | 70% |
| 特記 | 時刻後退エラー、顧客設定ミス |
対応内容
Dovecot で “Time moved backwards” エラーが3件発生。NTP 同期状態を確認したところ、System time offset が13マイクロ秒・RMS offset も正常範囲内で、時刻ジャンプの記録もなし。chrony の通常補正動作による一過性のものと確定。対応不要。
顧客アカウントのメール認証が単一IPから3時間おきに繰り返し失敗。調査の結果、メールクライアントのパスワード設定ミスと判定。顧客へ通知し対応を依頼した。
本日の横断的な傾向
mod_proxy 悪用試行の複数サーバー同時発生
同日に2台のサーバーで、外部サービスへのオープンプロキシ悪用試行が確認された。いずれも異なる送信元IPからだが、手口は同一。本来はApacheの正常な機能であるmod_proxyが悪用ターゲットになっている。
logwatch の httpd セクションに “Connection attempts using mod_proxy” が出たら即 csf -g [IP] でブロック状況を確認し、未ブロックなら手動 deny を追加する運用が有効。
ImageMagick 自動更新と lfd インテグリティ警告
本日2台のサーバーで ImageMagick が同一バージョンに自動更新されており、両方で lfd がインテグリティ警告を出した。いずれも false positive で、CSF DB 更新 + lfd 再起動で解消。cPanel サーバーでパッケージが自動更新された翌日は lfd 警告を疑うことがポイント。
lfd メモリの一時的な増大
本日のパトロールで複数サーバーが lfd のピークメモリとして数百MBを記録していた。いずれも翌日には30〜50MB程度に回復しており、大量ブロック処理の集中による一過性のものと考えられる。csf.deny の件数が多いほど lfd のメモリ消費が増加する傾向がある。
顧客アカウントのパスワード設定ミス(複数件)
本日のパトロールで、2件の顧客アカウントで定期的なメール認証失敗を確認した。いずれも攻撃ではなく、端末側のパスワード設定誤りや古い機器の設定が原因だった。どちらも顧客への確認通知で解決。
見分け方の共通パターン:
- 単一または少数のIPから
- 規則的な間隔(自動ポーリング)
- 1セッションあたり数回の試行後に終了
- ブルートフォースのような高頻度・多IPではない
本日の新規知見
- rkhunter の初期設定チェックリスト:新規サーバー構築時に実施すべき4項目を整理
- HTTPD Errors 大量件数の調査手順:Azure ボットスキャンが主因のケースと確認方法
- DA サーバー固有の false positive 一覧:php-isolated-fpm PID エラー・passwd_alt 欠損・directadmin-userd 残留の判定基準
- Dovecot process_limit の判断基準:一過性か継続かを翌日確認で判定する手順
- 家電製品のメール連携機能が古いアカウントにアクセスし続けるケース:10年以上前のアカウント削除後も機器設定が残存するパターン
本レポートはサーバー運営の記録として公開しています。IPアドレス・ドメイン名・顧客情報等は匿名化しています。
