He instalado un Kippo honeypot en mi servidor y quería saber si hay algunas herramientas que puedo iniciar para recopilar más información sobre el cracker.
Quiero más información para poder iniciar algunas cosas forenses.
No hay nada que puedas "instalar" para desanonizar a un atacante. Una vez que obtiene los datos de Kippo sobre la IP y el tipo de conexión, tiene todo lo que puede obtener a menos que el atacante revele más sobre ellos mismos de sus acciones. Existen herramientas que puede utilizar para mejorar un poco los datos, pero eso no rompe el anonimato.
La mayoría de las investigaciones que descubren la identidad del cracker que he realizado con éxito han sido el resultado de los archivos que intentan instalar o las ubicaciones de descarga que usan o las contraseñas que intentan usar. Entonces, todo se reduce a una investigación manual. No es la información que Kippo captura lo que hace, sino que es la información a la que apunta la información de Kippo. Y es difícil predecir lo que podría terminar siendo.
... A menos que infrinja la ley y piratee al pirata informático . Conozco a una persona que ejecutó un Kippo honeypot y configuró un script para usar la misma contraseña que el atacante configuró para una nueva cuenta para intentar iniciar sesión en la máquina del atacante. Tuvo una tasa de éxito del 10% (atacantes reutilizando contraseñas). Pero, esto es ilegal en la mayoría de las jurisdicciones (acceso no autorizado).
Lea otras preguntas en las etiquetas forensics honeypot deanonymization