無線 LAN のただ乗りを阻止する パート2――1

殺人と虐殺

前回は、ワイヤレスフリーローダーの心をもてあそぶ面白い方法をいくつか学び、自分のネットワーク上にいる他人を見つけ出す方法もいくつか紹介した。今回は、好ましくない訪問者をネットワークからたたき出したり、無線 LAN への潜入者を見つけ出すさまざまな方法について学ぶ。

コンピュータマニアは温厚で非暴力主義的な小心者などとはだれが言ったのだろうか。それが真実だとしたら、これだけ多くの乱暴なコマンドが指一本で実行できるのはなぜだろう。whowatch、kill、tcpkill、および cutter など、何とも恐ろしい限りである。

whowatch はリアルタイムでログインを監視し、特定のホストからユーザーを追い出す。SSH セッションでファイルサーバーにログインしているときに、ほかにだれがログインしているのか見たい場合などに使う。root 権限で whowatch コマンドを実行するだけで、ユーザーが一覧された次のような ncurses 表示が現れる。

2 users:（1 local, 0 telnet, 0 ssh, 1 other） load: 0.02, 0.12, 0.12
（init） pinball tty2 -bash
（kdm） carla :0 -

何てことだ、と思うかもしれない。「pinball」がファイルサーバーにログインしているのはおかしい。「pinball」がファイルサーバーのログインアカウントを持っていること自体おかしい。最悪の事態だ。どうしよう。

だが、まずここは落ち着こう。上下の矢印キーを使って「pinball」に移動し、「Enter」を押す。すると次のようになる。

2 users:（1 local, 0 telnet, 0 ssh, 1 other） load: 0.12, 0.36, 0.29
（init） pinball tty2
6972 - /bin/login --
6975 `- -bash

矢印キーを使ってプロセス番号が最も小さい行を選択し、「Ctrl+K」を押して「pinball」を殺す。すると、画面は次のようになる。

2 users:（1 local, 0 telnet, 0 ssh, 1 other） load: 0.12, 0.36, 0.29
（init） pinball tty2
6972 - /bin/login --
6975 `- -bash

ざまあみろ「pinball」。「Enter」キーを押すと、選択されたユーザーとユーザー一覧の間を移動することができる。また、「F9」を押せばトップメニューが表示される。当然、次は不正使用者がサーバーにどうやって侵入できたかを突き止め、セキュリティ侵害部分を修復し、rootkits などの各種マルウェアを探さなければならない。場合によっては、システム全体の再構築が必要なこともある。しかし、少なくとも侵入者がいたことだけは分かった。それだけでも結構なことだ。

次へ finger »

目次 1 殺人と虐殺 2 finger 3 tcpkill や Cutter に対する強硬策 4 Kismet でルーズなアクセスポイントを見つけ出す 5 Kismet ドローン