# AN0134 — Analytic 0134 ## Descrição Detecta exclusão ou sobrescrita de logs e configurações que armazenam atividade SSH ou proxy, como /var/log/auth.log, ou limpeza do .bash_history vinculada a sessões SSH ou alterações em regras de firewall. A telemetria inclui logs do auditd para monitorar operações de truncamento ou exclusão em arquivos de log, correlação com sessões SSH ativas ou recentemente encerradas, e alertas para padrões de limpeza de histórico de shell suspeitos como export HISTFILE=/dev/null. Este analítico é importante para identificar atacantes que tentam cobrir rastros de movimentação lateral via SSH após acesso a sistemas Linux sensíveis, removendo evidências de suas conexões. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0134](https://attack.mitre.org/detectionstrategies/DET0049#AN0134)*