Kennt jemand einen einfach konfigurierbaren Honeypot mit dem man untersuchen kann, was die Skript-Kiddies machen, wenn sie mit dem Brute-Forcen auf dem SSH-Server Erfolg haben?

Interessant wäre auch die IP-Adressen, von denen die Angriffe kommen automatisch auszuwerten und die statischen IPs dann zu sperren.

Genau wegen solchen 'Kiddys' gibts Fail2Ban... http://www.fail2ban.org/
Das Teil untersucht die SSH Log nach IP's die sich versucht haben einzuloggen und bannt diese via IPTables...
Sehr nützlich das Programm :D

Wenn jemand auf deinen Server draufgekommen ist, kannste in der history (eine versteckte Datei inner SSH-Root 'history' ode so) von der SSH nachschauen, was er gemacht hat

Ich würde wahrscheinlich Virtualisierung benutzen und Snapshots in Abständen zurücksetzen. Die Auswertung wäre natürlich noch eine offene Frage.

Typischerweise mappt man ja eher eine große Zahl Systeme auf eine IP-Adresse...