# AN0735 — Analytic 0735 ## Descrição Esta analítica detecta execução de Node.js ou interpretadores JavaScript em Linux originada de web shells, jobs cron ou usuários locais, correlacionando com comportamento de reverse shell, modificações de arquivos ou conexões de saída anômalas. A telemetria inclui auditd com rastreamento de execução de processos, logs de acesso de servidores web e eventos de rede via EDR ou sistema de detecção de intrusão. A detecção é crítica em servidores Linux expostos porque Node.js é frequentemente usado como vetor de execução em comprometimentos de servidores web. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-007-javascript|T1059.007 — JavaScript]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0735](https://attack.mitre.org/detectionstrategies/DET0264#AN0735)*