# AN0220 — Analytic 0220 ## Descrição Detecta exploração de servidores Apache/Nginx ou servidores de aplicação Linux por adversários, com cadeia: requisições suspeitas em logs de acesso, pico de 5xx ou bloqueios WAF, servidor web ou interpretador (apache2/nginx/php-fpm/node/python) iniciando /bin/sh, curl, wget, socat ou gravando webshell, seguido de callback de saída. A telemetria inclui análise de logs de acesso do servidor web para padrões de payload de exploração (ex.: traversal de diretório, injeção de templaté), auditd para processos filhos inesperados de daemons de servidor web e análise de rede para conexões de saída originárias de processos de servidor web. Essa analítica é de alta relevância para organizações LATAM onde servidores Linux com Apache/Nginx são comuns em infraestrutura de e-commerce, governo e serviços financeiros, alvos frequentes de ataques de exploração web automatizados e campanhas direcionadas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0220](https://attack.mitre.org/detectionstrategies/DET0080#AN0220)*