Estoy viendo mucho (> 50% del total de eventos) de eventos de conexión en un honeypot que he configurado, pero no hay más interacción, no hay fuerza bruta, solo una conexión y luego una desconexión.
Estoy pensando que esto es solo un tipo de escaneo para ver si es realmente SSH o para asegurarme de que no esté usando autenticación basada en cert, pero no entiendo por qué no podría comenzar una fuerza bruta.
He estado buscando a través de algunos de los códigos fuente para las botnets. No he encontrado nada que sugiera que solo probarían una conexión.
No tengo mucha experiencia con la configuración de una red de bots, por lo que cualquier explicación o código fuente que pueda tener sería de gran ayuda.