Vedo molto (> 50% degli eventi totali) di eventi di connessione su un honeypot che ho impostato, ma non c'è alcuna interazione, nessuna forza bruta, solo una connessione e poi la disconnessione.
Penso che questo sia solo una sorta di scansione per vedere se è veramente SSH o per assicurarsi che non stia usando un'autenticazione basata sul certificato, ma non capisco perché non dovrebbe iniziare una forza bruta.
Ho guardato attraverso il codice sorgente di botnet e non ho trovato nulla che suggerirebbe di testare solo una connessione.
Non ho molta esperienza con l'impostazione di una botnet, quindi qualsiasi spiegazione o codice sorgente potrebbe essere davvero utile.