# AN0521 — Analytic 0521 ## Descrição Este analítico detecta deleção ou sobrescrita de histórico bash, syslog, logs de auditoria e metadados SSH no Linux após elevação de privilégio ou spawn de processos suspeitos. A telemetria inclui auditd monitorando operações de deleção em `/var/log/`, alterações em `~/.bash_history`, eventos de modificação em `/etc/ssh/` e correlação com execuções privilegiadas anteriores via sudo ou su. A remoção de logs e histórico de comandos é uma técnica clássica de anti-forense usada por adversários para apagar rastros e dificultar a investigação após um comprometimento em sistemas Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0521](https://attack.mitre.org/detectionstrategies/DET0184#AN0521)*