inextrosum, estoy con la línea de lo comentas y por mi experiencia, el mejor honeypot es poner un servidor en producción, aunque sea algo pequeño y empezar a analizar logs, con eso sí que se aprende 
Kippo no va mal, pero con un servidor tendrás ataques reales (escaneos, fuerza bruta, etc).
Saludos
Dabo hola gracias por responder , kippo lo he estado utilizando y no me convence
, un servidor en producción real es lo que quiero pero para levantarlo todabia soy muy noob , no sabria por donde empezar , eso si me gustaria que fuera en un ambiente Gnu/Linux , el servidor basado en debian o de él ¿hay que levantar apache? o ¿como? , estoy confusa si me puedes orientar como empezar aportandome algo de mas datos..
Un punte me levante una máquina con kali linux como plataforma de honeypot con servicios diversos levantados , la password de superusuaria la limite a 987654321 y mediante tor comencé a navegar por sitios hostiles , con chkrootkit y ps -aux me encontre con un troyano , rootkit o malware en general que me colaron en el s.o y lo aislé con clamav me gustaria saber además con que herramientas puedo de alguna forma desemsanblar este malware y estudiarlo para poder con fines educativos poder comprenderlos mejor y como funciona , el archivo es sín extensión..Además me realizaron diversos ataques al ir a páginas aún mas hostiles y con clamav , chkrootkit y ps -aux me colaron de nuevo malware diverso unos 1.139 que pude aislar de archivos detectados por clamav como malware diversos , troyanos , rootkits , virus en general con extensiones de archivos muy diversos como .sh , .exe , .com , .pl , .py y archivos sin extensión..
El s.o kali linux sé que está comprometido , me gustaria poder saber leer bién los logs , todos los que proporcione el sistema operativo y cuales son los logs clave que debo obserbar primero.El s.o kali linux lo dejé lo más desactualizado posible para que me hicieran tal acciones , basandonos en informática forense ¿cómo debo proceder con el sistema operativo? , de todo esto ¿qué conclusiones sacaís? , ¿debo reforzar la password de superusuaria a la anterior de 20 caracteres y algo mas robusta que tenia?.
Algo mas interesante seria que me orientarais en lo que me has aconsejado Dabo en un servidor en producción real , ¿qué servicios debo levantar? ¿qué trampas puedo poner para que me ataquen? , ¿uno de los servicios a levantar por curiosidad seria apache? , ¿por donde empiezo? porque siento que en todo lo que he estado haciendo hasta ahora he fracaso o esa es mi impresión.La mayoria de los 1.139 malware recolectados son de tipo exploits ¿cómo puedo llegar a comprenderlos también?.
