# AN0470 — Analytic 0470 ## Descrição Detecta modificação ou truncamento de `/var/log/shell.log` usado para persistir o histórico de comandos do shell ESXi, especialmente suspeito quando ocorre logo após login ou mudanças de configuração. A telemetria necessária inclui monitoramento de integridade de arquivos de log do ESXi, alertas do hostd/syslog do ESXi para operações de modificação em arquivos de log críticos e correlação de eventos de login de shell com modificações em arquivos de log nos minutos seguintes. Essa detecção é relevante para resposta a incidentes em ambientes de virtualização, onde adversários que comprometem hipervisors ESXi frequentemente limpam logs de shell para remover evidências de comandos executados durante operações de espionagem, destruição de dados ou implantação de backdoors. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1070-003-indicator-removal-clear-command-history|T1070.003 — Clear Command History]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1070-001-indicator-removal-clear-windows-event-logs|T1070.001 — Clear Windows Event Logs]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0470](https://attack.mitre.org/detectionstrategies/DET0165#AN0470)*