# AN1263 — Analytic 1263 ## Descrição Detecta falhas de login rápidas em diferentes usuários a partir de um único endereço IP no Linux, visando SSH ou login PAM com pares distintos de nome de usuário e senha. A telemetria inclui logs de autenticação SSH (/var/log/auth.log), eventos de auditoria PAM e análise de frequência e diversidade de tentativas de autenticação por IP de origem. Essa análise é essencial para identificar ataques de credential stuffing contra servidores Linux que exploram bases de dados de credenciais vazadas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110-004-credential-stuffing|T1110.004 — Credential Stuffing]] - [[t1021.004-ssh|T1021.004 — SSH]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1263](https://attack.mitre.org/detectionstrategies/DET0460#AN1263)*