# AN1110 — Analytic 1110 ## Descrição Este analítico detecta servidores web no macOS (como `httpd`) que iniciam processos anormais após upload de arquivo em `/Library/WebServer/Documents` ou `/usr/local/var/www`. Utiliza telemetria do Endpoint Security Framework (ESF) e análise de linhagem de processos para identificar servidores web macOS iniciando shells ou utilitários do sistema de forma inesperada. A detecção é relevante porque embora menos comum, servidores web macOS podem ser alvo de webshells especialmente em ambientes de desenvolvimento, onde controles de segurança são frequentemente mais relaxados. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1110](https://attack.mitre.org/detectionstrategies/DET0394#AN1110)*