# AN0663 — Analytic 0663 ## Descrição Detecta quando um adversário obtém acesso shell ou faz upload de um script malicioso para desfigurar conteúdo web hospedado em Nginx, Apache ou outros serviços em Linux. A telemetria inclui auditd (monitoramento de escrita em diretórios de documentos web), logs de acesso do servidor web e logs de autenticação SSH que identificam modificações de arquivo por usuários ou processos não autorizados a servir conteúdo. Essa analítica é crítica para detectar ataques de defacement utilizados por grupos hacktivistas e campanhas de espionagem que buscam comprometer a imagem de organizações ou plantar webshells para acesso persistente. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1491-defacement|T1491 — Defacement]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0663](https://attack.mitre.org/detectionstrategies/DET0238#AN0663)*