Para quem não costuma acessar o site do SANS, existe atualmente um diário sendo produzido a respeito de um honeypot "montado para ssh".
O mais interessante para os iniciantes eu creio ser a análise de um malware, que atualmente está na parte III. Lá é descrita a análise que está sendo feito do comportamento de um malware que, após se instalar na máquina-vítima, começa a "infestar" a máquina.
http://isc.sans.org//index.php

no link é possivel se ver a parte III, bem como os links para as partes I e II e o link para o SSH honeypot.

Recomendo aos iniciantes.

NOTA: Está em inglês. Sem reclamações. :)