# AN1508 — Analytic 1508 ## Descrição Detecta o abuso de módulos extensíveis de servidor (Apache, Nginx, Tomcat) para carregar plugins maliciosos que iniciam bash, conectam-se a C2 ou geram shells reversos em sistemas Linux. A telemetria inclui logs de acesso e erro do servidor web, auditd para rastreamento de execução de processos filhos de processos de servidor e monitoramento de conexões de rede de saída de servidores web para destinos externos incomuns. Esta analítica é importante para detectar módulos maliciosos de servidor web em Linux, vetores de persistência silenciosos que executam código arbitrário em resposta a requisições web especialmente formatadas, permanecendo ocultos em logs de acesso normais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1508](https://attack.mitre.org/detectionstrategies/DET0547#AN1508)*