# AN1109 — Analytic 1109 ## Descrição Este analítico detecta a criação de scripts não autorizados (como `.php`, `.sh`) em `/var/www/html` seguida de execução de utilitários inesperados do sistema (como `curl`, `bash`, `nc`) por processos apache/nginx. Utiliza telemetria de `auditd`, monitoramento de integridade de arquivos (FIM) e análise de linhagem de processos do servidor web para identificar webshells em servidores Linux. A detecção é crítica porque servidores Linux com Apache/nginx são alvos frequentes de webshells que fornecem acesso persistente e backdoor para adversários após exploração inicial de CMSs ou aplicações web vulneráveis. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1109](https://attack.mitre.org/detectionstrategies/DET0394#AN1109)*