Integração e Gestão de Sistemas de Informação

Autor: Artificial Inteligence

  • Incidente de Segurança Crítico: Notepad++ Sequestrado por Hackers Patrocinados por Estado – Análise Completa e Guia de Mitigação

    Incidente de Segurança Crítico: Notepad++ Sequestrado por Hackers Patrocinados por Estado – Análise Completa e Guia de Mitigação

    Sumário Executivo

    O Notepad++, um dos editores de texto de código aberto mais populares do mundo com milhões de utilizadores, foi vítima de um sofisticado ciberataque patrocinado por um Estado que comprometeu a sua infraestrutura de atualizações durante vários meses em 2025. Este incidente destaca o panorama de ameaças em evolução onde até software confiável pode tornar-se um vetor para ataques direcionados.

    O Que Aconteceu: Cronologia do Ataque

    O comprometimento começou em junho de 2025 e persistiu até 2 de dezembro de 2025, afetando o mecanismo de entrega de atualizações no qual milhões de utilizadores confiam para manter o seu software atualizado. O ataque demonstrou capacidades de ameaça persistente avançada consistentes com atores de Estado-nação.

    Mecanismo do Ataque

    Em vez de explorar vulnerabilidades no código do Notepad++ em si, os atacantes comprometeram a infraestrutura de alojamento partilhado onde o notepad-plus-plus.org estava hospedado. Esta violação ao nível da infraestrutura permitiu-lhes intercetar e redirecionar o tráfego de atualizações de utilizadores visados para servidores controlados pelos atacantes que forneciam manifestos de atualização maliciosos.

    A sofisticação do ataque é evidente na sua natureza seletiva – apenas utilizadores específicos foram visados, sugerindo seleção de vítimas orientada por inteligência em vez de comprometimento em massa.

    Eventos Principais da Cronologia

    • Junho de 2025: Início do comprometimento
    • 2 de setembro de 2025: O fornecedor de alojamento realiza manutenção programada, atualizando kernel e firmware. Os atacantes perdem acesso ao servidor mas mantêm credenciais para serviços internos
    • 10 de novembro de 2025: Especialistas em segurança avaliam que a atividade do ataque cessou
    • 1 de dezembro de 2025: Notepad++ migrado para novo fornecedor de alojamento
    • 2 de dezembro de 2025: Todo o acesso dos atacantes definitivamente terminado após rotação de credenciais e remediação de vulnerabilidades

    Atribuição

    Múltiplos investigadores de segurança independentes avaliaram o ator de ameaça como sendo provavelmente um grupo patrocinado pelo Estado chinês. Esta atribuição baseia-se nos padrões de segmentação altamente seletivos, capacidades de comprometimento ao nível da infraestrutura e características de segurança operacional observadas durante a campanha.

    A Vulnerabilidade Explorada

    Os atacantes visaram especificamente o Notepad++ porque as versões mais antigas careciam de controlos de verificação de atualizações suficientes. O atualizador da aplicação (WinGup) não verificava adequadamente a autenticidade dos pacotes de atualização, criando uma oportunidade para ataques man-in-the-middle ao nível da infraestrutura.

    Avaliação do Impacto Técnico

    Âmbito do Comprometimento

    A investigação do fornecedor de alojamento revelou:

    1. Ataque Direcionado: Os atacantes procuraram especificamente o domínio notepad-plus-plus.org, indicando que esta foi uma operação deliberada focada nos utilizadores do Notepad++
    2. Danos Colaterais Limitados: Nenhum outro cliente no servidor de alojamento partilhado mostrou sinais de ter sido visado
    3. Acesso Persistente: Mesmo após perder acesso direto ao servidor em setembro, os atacantes mantiveram credenciais que permitiam redirecionamento de tráfego até dezembro

    O Que Isto Significa Para os Utilizadores

    Os utilizadores que descarregaram atualizações durante o período de comprometimento (junho-dezembro de 2025) através do atualizador automático podem ter recebido payloads maliciosos. A natureza seletiva da segmentação significa que nem todos os utilizadores foram afetados, mas determinar o impacto individual é desafiante sem análise forense detalhada.

    Mitigações Recomendadas e Medidas de Segurança

    Para Utilizadores do Notepad++ – Ações Imediatas

    1. Atualize Imediatamente: Instale a versão mais recente (8.9.1 ou superior) a partir do site oficial
    2. Verifique a Sua Instalação:
      • Verifique a assinatura digital do seu executável Notepad++
      • Clique com o botão direito em notepad++.exe → Propriedades → Assinaturas Digitais
      • Verifique se a assinatura é de “Don HO” e é válida
    3. Reveja a Atividade do Sistema: Verifique processos ou conexões de rede incomuns se atualizou entre junho-dezembro de 2025
    4. Considere Reinstalação Limpa: Se suspeitar de comprometimento, execute uma instalação nova a partir de fontes oficiais
    5. Ative Atualizações Automáticas: Uma vez na versão 8.9.2 ou posterior (quando lançada), a verificação melhorada irá proteger contra ataques similares

    Para Organizações

    1. Gestão de Inventário: Identifique todos os sistemas a executar Notepad++ e priorize atualizações
    2. Monitorização de Rede: Reveja logs para padrões de tráfego de atualização incomuns durante o período de comprometimento
    3. Lista Branca de Aplicações: Considere implementar políticas de controlo de aplicações
    4. Resposta a Incidentes: Se suspeitar de comprometimento:
      • Isole sistemas afetados
      • Execute análise forense
      • Reveja logs para indicadores de movimento lateral
      • Redefina credenciais para utilizadores de sistemas afetados

    Recomendações de Segurança a Longo Prazo

    Para Programadores de Software

    1. Implemente Assinatura de Código: Use assinaturas criptográficas fortes para todos os lançamentos de software
    2. Verificação de Atualizações: Implemente múltiplas camadas de verificação:
      • Validação de certificado
      • Verificação de assinatura digital
      • Validação de assinatura XML (XMLDSig) para manifestos de atualização
      • Verificação de hash de ficheiros descarregados
    3. Infraestrutura Segura:
      • Mova serviços críticos para longe de alojamento partilhado
      • Use servidores dedicados e robustecidos para infraestrutura de atualizações
      • Implemente sistemas de deteção de intrusão
      • Auditorias de segurança regulares
    4. Segurança da Cadeia de Fornecimento: Trate a infraestrutura de atualizações como infraestrutura de segurança crítica
    5. Transparência: Mantenha políticas públicas de divulgação de segurança

    Para Utilizadores Finais

    1. Descarregue de Fontes Oficiais: Sempre descarregue software de sites oficiais ou repositórios confiáveis
    2. Verifique Assinaturas: Verifique assinaturas digitais antes de instalar software
    3. Mantenha-se Informado: Acompanhe anúncios de segurança dos fornecedores de software
    4. Defesa em Profundidade: Use proteção de endpoints, monitorização de rede e lista branca de aplicações
    5. Higiene de Atualizações: Balance atualizações oportunas com verificação – não instale imediatamente atualizações automáticas para sistemas críticos sem testes

    Consciencialização de Segurança Mais Ampla

    Ataques à Cadeia de Fornecimento Estão a Aumentar

    Este incidente exemplifica a tendência crescente de ataques à cadeia de fornecimento onde adversários comprometem mecanismos de distribuição de software confiáveis. Ataques semelhantes visaram:

    • SolarWinds (2020)
    • CCleaner (2017)
    • NotPetya via software MeDoc (2017)

    Ameaças Patrocinadas por Estados

    Atores de Estado-nação possuem capacidades que excedem os cibercriminosos tradicionais:

    • Comprometimento de infraestrutura: Podem visar fornecedores de alojamento e CDNs
    • Segmentação seletiva: Reconhecimento avançado para identificar alvos de alto valor
    • Persistência: Mantêm acesso através de múltiplas ações defensivas
    • Discrição: Operam durante meses sem deteção

    Confie mas Verifique

    O incidente do Notepad++ demonstra que a confiança por si só é insuficiente. Mesmo software de código aberto respeitável pode ser comprometido através de vulnerabilidades de infraestrutura. Utilizadores e organizações devem implementar mecanismos de verificação independentemente da reputação da fonte.

    Resposta e Remediação do Notepad++

    Para crédito do programador, a resposta foi abrangente:

    1. Migração: Mudou para um novo fornecedor de alojamento com práticas de segurança mais fortes
    2. Verificação Melhorada: Atualizou o WinGup (o atualizador) na v8.8.9 para verificar certificados e assinaturas
    3. Assinatura XML: Implementou XMLDSig para respostas do servidor de atualizações
    4. Verificação Forçada: A versão 8.9.2 (próxima) irá forçar a verificação de certificado e assinatura
    5. Transparência: Divulgação pública com cronologia detalhada e informação técnica

    Lições Aprendidas

    1. Riscos de Alojamento Partilhado: Infraestrutura crítica não deve depender de ambientes de alojamento partilhado
    2. Segurança de Atualizações: Mecanismos de atualização são alvos de alto valor que requerem defesa em profundidade
    3. Verificação é Essencial: A confiança deve ser verificada criptograficamente em cada etapa
    4. Resposta a Incidentes: Colaboração com especialistas em segurança e transparência são cruciais
    5. Persistência Importa: Atacantes manterão acesso através de múltiplas ações de defesa

    Conclusão

    O incidente de sequestro do Notepad++ serve como um lembrete crítico de que nenhum software está imune a ataques sofisticados. Atores de ameaça patrocinados por Estados visam cada vez mais cadeias de fornecimento de software como uma forma eficiente de alcançar múltiplas vítimas através de um único comprometimento.

    Para os utilizadores, a ação imediata é clara: atualize para a versão mais recente e verifique a sua instalação. Para a comunidade em geral, este incidente sublinha a importância de implementar mecanismos de verificação robustos, proteger a infraestrutura de atualizações e manter vigilância mesmo com software confiável.

    O lado positivo é a resposta abrangente da equipa do Notepad++ e a transparência com que lidaram com a divulgação. As medidas de segurança melhoradas agora implementadas devem reduzir significativamente o risco de ataques semelhantes no futuro.

    Mantenha-se seguro, verifique tudo e mantenha o seu software atualizado a partir de fontes oficiais.

    Recursos Adicionais

  • Anatomia de um Ataque:

    Anatomia de um Ataque:

    Como Detetar e Bloquear Tentativas de Acesso a Ficheiros de Backup

    Introdução

    Recentemente, durante a análise rotineira dos logs do servidor, deparei-me com uma entrada que ilustra perfeitamente um dos vetores de ataque mais comuns (e perigosos) na web:

    a tentativa de acesso a ficheiros de backup.

    Neste artigo, vou analisar em detalhe esta tentativa de ataque, explicar porque representa um risco crítico de segurança e mostrar como podemos implementar mecanismos de deteção com Wazuh e proteção com ModSecurity.

    A Entrada de Log Maliciosa

    Vamos começar por examinar a entrada que acionou os nossos alertas de segurança:

    xxx.xxx.xxx.xxx - - [27/Jan/2026:11:13:10 +0000] "GET /wwwroot.bak HTTP/1.1" 404 98749 "https://xxx-xxx.com/wwwroot.bak" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.201 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

    À primeira vista, pode parecer apenas mais uma entrada num oceano de logs.

    No entanto, uma análise cuidadosa revela várias red flags críticas que identificam esta como uma tentativa de ataque deliberada.

    Análise Técnica: Porque é Malicioso?

    1. O Alvo: Ficheiros de Backup Expostos

    O elemento mais crítico desta tentativa de ataque é o caminho solicitado: /wwwroot.bak

    Ficheiros de backup são um dos alvos mais apetecíveis para atacantes porque frequentemente contêm:

    • Código-fonte completo da aplicação incluindo lógica de negócio sensível
    • Credenciais hardcoded como passwords de bases de dados, chaves API e tokens de autenticação
    • Informação sobre a estrutura da aplicação que facilita outros ataques
    • Dados sensíveis que não deveriam estar acessíveis publicamente
    • Vulnerabilidades conhecidas em versões antigas do código

    Extensões comuns de ficheiros de backup que os atacantes procuram:

    • .bak, .backup, .old, .orig, .copy
    • .zip, .tar.gz, .rar, .7z
    • .sql, .sql.gz, .dump
    • ~, .swp, .tmp

    2. User-Agent Spoofing: Disfarçado de Googlebot

    Outro indicador claro de atividade maliciosa é o User-Agent utilizado:

    Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 
(KHTML, like Gecko) Chrome/124.0.6367.201 Mobile Safari/537.36 
(compatible; Googlebot/2.1; +http://www.google.com/bot.html)

    O atacante está a tentar fazer-se passar pelo Googlebot, o crawler oficial do Google. Esta é uma técnica comum chamada User-Agent Spoofing com vários objetivos:

    • Evitar bloqueios automáticos: Muitos sistemas confiam em User-Agents legítimos
    • Contornar rate limiting: Bots de motores de busca geralmente têm limites mais elevados
    • Reduzir suspeitas: Administradores podem ignorar pedidos aparentemente do Google
    • Explorar whitelists: Alguns sistemas permitem acesso privilegiado a crawlers conhecidos

    Como verificar se é realmente o Googlebot: O Googlebot legítimo faz reverse DNS lookup para googlebot.com ou google.com. Pedidos do IP xxx.xxx.xxx.xxx nunca seriam do Google real.

    3. Padrão de Reconhecimento Automatizado

    Analisando o contexto mais amplo (embora não visível nesta entrada específica), este tipo de pedido faz parte de um scanning automatizado onde o atacante:

    1. Identifica websites potencialmente vulneráveis
    2. Testa múltiplos caminhos de ficheiros de backup comuns
    3. Procura por respostas que indiquem a existência de ficheiros (mesmo 403 Forbidden é útil)
    4. Faz download de qualquer ficheiro encontrado para análise offline

    4. O Código 404: Será que Estamos Seguros?

    Neste caso, o servidor respondeu com 404 Not Found, o que é positivo – o ficheiro não existe ou não está acessível.

    No entanto, isto não significa que estamos completamente seguros:

    • O atacante pode estar a testar centenas ou milhares de variações
    • Outros ficheiros de backup podem existir com nomes diferentes
    • A tentativa em si revela que o site está a ser ativamente alvo de reconhecimento
    • Múltiplas tentativas podem indicar uma campanha mais ampla de ataque

    Deteção com Wazuh SIEM

    Agora que compreendemos a anatomia do ataque, vamos implementar regras de deteção no Wazuh para identificar automaticamente estas tentativas.

    Regra personalizada hipotética para Ficheiros de Backup

    Adicione esta regra ao ficheiro /var/ossec/etc/rules/local_rules.xml:

    <group name="web,attack,">
  <!-- Deteção de tentativas de acesso a ficheiros de backup -->
  <rule id="100200" level="10">
    <if_sid>31101</if_sid>
    <regex type="pcre2">(?i)\.bak|\.backup|\.old|\.orig|\.copy|\.tmp|\.swp|~|\.sql|\.tar\.gz|\.zip</regex>
    <description>Tentativa de acesso a ficheiro de backup detetada</description>
    <mitre>
      <id>T1083</id>
      <id>T1530</id>
    </mitre>
  </rule>

  <!-- Severidade elevada se múltiplas tentativas do mesmo IP -->
  <rule id="100201" level="12" frequency="5" timeframe="300">
    <if_matched_sid>100200</if_matched_sid>
    <same_source_ip />
    <description>Múltiplas tentativas de acesso a ficheiros de backup do mesmo IP: $(srcip)</description>
    <mitre>
      <id>T1083</id>
      <id>T1530</id>
    </mitre>
  </rule>

  <!-- User-Agent Spoofing detetado -->
  <rule id="100202" level="8">
    <if_sid>31101</if_sid>
    <regex type="pcre2">(?i)Googlebot|bingbot|slurp</regex>
    <not_group>known_crawler_ips</not_group>
    <description>Possível User-Agent Spoofing detetado: $(http_user_agent)</description>
    <mitre>
      <id>T1036</id>
    </mitre>
  </rule>

  <!-- Combinação: Backup file + Spoofed User-Agent -->
  <rule id="100203" level="14">
    <if_sid>100200</if_sid>
    <regex type="pcre2">(?i)Googlebot|bingbot|slurp</regex>
    <description>CRÍTICO: Tentativa de acesso a backup com User-Agent falsificado</description>
    <mitre>
      <id>T1083</id>
      <id>T1530</id>
      <id>T1036</id>
    </mitre>
  </rule>
</group>

    Configuração de Alertas e Respostas Ativas

    Configure respostas ativas para bloquear automaticamente IPs suspeitos:

    <!-- Em /var/ossec/etc/ossec.conf -->
<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>100201,100203</rules_id>
  <timeout>1800</timeout> <!-- 30 minutos -->
</active-response>

    Dashboard Kibana para Monitorização

    Crie visualizações no Kibana para monitorizar:

    1. Mapa de calor geográfico de tentativas de acesso a backups
    2. Timeline de tentativas por hora/dia
    3. Top 10 IPs mais agressivos
    4. Top 10 ficheiros mais procurados
    5. Correlação entre User-Agents e padrões de ataque

    Proteção com ModSecurity WAF

    Enquanto o Wazuh nos ajuda a detetar ataques, o ModSecurity permite-nos prevenir ativamente estas tentativas antes que cheguem à aplicação.

    Regras personalizadas hipotéticas ModSecurity

    Crie o ficheiro /etc/modsecurity/custom_rules.conf:

    # =====================================
# Proteção contra Acesso a Ficheiros de Backup
# =====================================

# Bloqueio de extensões de ficheiros de backup
SecRule REQUEST_URI "@rx (?i)\.(bak|backup|old|orig|copy|tmp|swp|save|~)$" \
    "id:1000200,\
    phase:1,\
    block,\
    t:none,\
    msg:'Tentativa de acesso a ficheiro de backup bloqueada',\
    logdata:'URI: %{REQUEST_URI}, IP: %{REMOTE_ADDR}',\
    tag:'attack-backup-files',\
    tag:'OWASP_CRS/WEB_ATTACK/FILE_ACCESS',\
    severity:'CRITICAL',\
    setvar:'tx.anomaly_score_pl1=+5',\
    setvar:'ip.backup_file_attempts=+1'"

# Bloqueio de ficheiros SQL comprimidos
SecRule REQUEST_URI "@rx (?i)\.(sql|sql\.gz|sql\.zip|sql\.bz2|dump)$" \
    "id:1000201,\
    phase:1,\
    block,\
    t:none,\
    msg:'Tentativa de acesso a ficheiro SQL bloqueada',\
    logdata:'URI: %{REQUEST_URI}, IP: %{REMOTE_ADDR}',\
    tag:'attack-database-dump',\
    severity:'CRITICAL',\
    setvar:'tx.anomaly_score_pl1=+5',\
    setvar:'ip.sql_file_attempts=+1'"

# Bloqueio de ficheiros comprimidos suspeitos na raiz
SecRule REQUEST_URI "@rx (?i)^/[^/]*\.(zip|tar|tar\.gz|tgz|rar|7z)$" \
    "id:1000202,\
    phase:1,\
    block,\
    t:none,\
    msg:'Tentativa de acesso a arquivo comprimido na raiz bloqueada',\
    logdata:'URI: %{REQUEST_URI}, IP: %{REMOTE_ADDR}',\
    tag:'attack-archive-files',\
    severity:'WARNING',\
    setvar:'tx.anomaly_score_pl1=+3',\
    setvar:'ip.archive_attempts=+1'"

# =====================================
# Deteção de User-Agent Spoofing
# =====================================

# Bloqueio de crawlers falsos do Google
SecRule REQUEST_HEADERS:User-Agent "@rx (?i)googlebot" \
    "id:1000203,\
    phase:1,\
    chain,\
    t:none,\
    msg:'User-Agent Googlebot falsificado detetado',\
    logdata:'User-Agent: %{REQUEST_HEADERS.User-Agent}, IP: %{REMOTE_ADDR}',\
    tag:'attack-user-agent-spoofing'"

SecRule REMOTE_ADDR "!@ipMatchFromFile /etc/modsecurity/google-crawlers.txt" \
    "t:none,\
    block,\
    severity:'WARNING',\
    setvar:'tx.anomaly_score_pl1=+4',\
    setvar:'ip.spoofing_attempts=+1'"

# =====================================
# Rate Limiting Baseado em Comportamento Suspeito
# =====================================

# Bloqueio temporário após múltiplas tentativas
SecRule IP:backup_file_attempts "@ge 3" \
    "id:1000204,\
    phase:1,\
    block,\
    t:none,\
    msg:'IP bloqueado temporariamente: múltiplas tentativas de acesso a backups',\
    logdata:'Total de tentativas: %{IP.backup_file_attempts}, IP: %{REMOTE_ADDR}',\
    tag:'attack-rate-limit',\
    severity:'ERROR',\
    expirevar:'ip.backup_file_attempts=600'"

# =====================================
# Logging Avançado para Análise Forense
# =====================================

# Log detalhado de todas as tentativas suspeitas
SecRule IP:backup_file_attempts "@ge 1" \
    "id:1000205,\
    phase:5,\
    pass,\
    t:none,\
    nolog,\
    setvar:'tx.outbound_anomaly_score=+0'"

    Criar Lista de IPs Legítimos do Google

    # Obter IPs reais do Googlebot
curl -s https://developers.google.com/search/apis/ipranges/googlebot.json | \
jq -r '.prefixes[].ipv4Prefix // .prefixes[].ipv6Prefix' > \
/etc/modsecurity/google-crawlers.txt

# Adicionar IPs do Bing (opcional)
echo "20.168.0.0/16" >> /etc/modsecurity/google-crawlers.txt
echo "40.77.167.0/24" >> /etc/modsecurity/google-crawlers.txt

    Configuração de Resposta Personalizada

    Edite /etc/modsecurity/modsecurity.conf:

    # Ação para pedidos bloqueados
SecDefaultAction "phase:1,log,auditlog,deny,status:403"

# Resposta HTML customizada
ErrorDocument 403 "<!DOCTYPE html><html><head><title>Acesso Negado</title></head><body><h1>403 Forbidden</h1><p>O seu pedido foi bloqueado pelo nosso sistema de segurança.</p><p>Ref ID: %{UNIQUE_ID}</p></body></html>"

    Boas Práticas de Prevenção

    Além da deteção e bloqueio ativo, é crucial implementar medidas preventivas:

    1. Gestão Segura de Ficheiros de Backup

    # NUNCA fazer isto:
cp -r /var/www/html /var/www/html.bak

# Fazer isto em vez disso:
# Backup fora do webroot
mkdir -p /backup/websites
tar -czf /backup/websites/site-$(date +%Y%m%d-%H%M%S).tar.gz \
    -C /var/www html \
    --exclude='*.log' \
    --exclude='cache/*'

# Proteger com permissões adequadas
chmod 600 /backup/websites/*.tar.gz
chown root:root /backup/websites/*.tar.gz

    2. Configuração do Servidor Web

    Apache (.htaccess):

    # Bloquear acesso a ficheiros de backup
<FilesMatch "\.(bak|backup|old|orig|copy|tmp|swp|save|~|sql|gz|zip|tar)$">
    Require all denied
</FilesMatch>

# Bloquear acesso a ficheiros ocultos
<FilesMatch "^\.">
    Require all denied
</FilesMatch>

    Nginx:

    # Bloquear ficheiros de backup
location ~* \.(bak|backup|old|orig|copy|tmp|swp|save|~|sql|gz|zip|tar)$ {
    deny all;
    return 404;
}

# Bloquear ficheiros ocultos
location ~ /\. {
    deny all;
    return 404;
}

    3. Automação com Scripts de Segurança

    Crie um script de auditoria /usr/local/bin/check-backup-files.sh:

    #!/bin/bash
# Script para detetar ficheiros de backup no webroot

WEBROOT="/var/www/html"
ALERT_EMAIL="security@exemplo.com"

# Procurar por ficheiros de backup
FINDINGS=$(find "$WEBROOT" -type f \( \
    -name "*.bak" -o \
    -name "*.backup" -o \
    -name "*.old" -o \
    -name "*.orig" -o \
    -name "*.copy" -o \
    -name "*.tmp" -o \
    -name "*.swp" -o \
    -name "*~" -o \
    -name "*.sql" -o \
    -name "*.sql.gz" \
\) 2>/dev/null)

if [ -n "$FINDINGS" ]; then
    echo "⚠️  ALERTA: Ficheiros de backup encontrados no webroot!" | \
    mail -s "Alerta de Segurança: Ficheiros de Backup Expostos" "$ALERT_EMAIL" <<EOF
Os seguintes ficheiros de backup foram encontrados no webroot:

$FINDINGS

Ação recomendada: Remover ou mover estes ficheiros imediatamente.
EOF
fi

    Agende com cron:

    # Verificar diariamente às 02:00
0 2 * * * /usr/local/bin/check-backup-files.sh

    4. Monitorização de File Integrity (FIM)

    Configure o Wazuh FIM para alertar sobre criação de ficheiros suspeitos:

    <!-- Em /var/ossec/etc/ossec.conf -->
<syscheck>
  <directories check_all="yes" realtime="yes">/var/www/html</directories>
  
  <!-- Alertar sobre ficheiros de backup -->
  <ignore type="sregex">\.bak$</ignore>
  <ignore type="sregex">\.backup$</ignore>
  <ignore type="sregex">\.old$</ignore>
  <ignore type="sregex">\.sql$</ignore>
  
  <alert_new_files>yes</alert_new_files>
</syscheck>

    Conclusão e Recomendações

    A tentativa de acesso a ficheiros de backup que analisámos pode parecer inofensiva à primeira vista, mas representa um vetor de ataque sério que pode levar a:

    • Exposição de código-fonte e propriedade intelectual
    • Fuga de credenciais e chaves API
    • Comprometimento completo da aplicação
    • Exfiltração de dados sensíveis

    Checklist de Segurança:

    Implementar regras Wazuh para deteção pro-ativa
    Configurar ModSecurity para bloqueio em tempo real
    Auditar webroot regularmente para ficheiros expostos
    Criar backups seguros fora do webroot
    Configurar alertas para tentativas de acesso suspeitas
    Validar User-Agents contra listas de IPs conhecidos
    Implementar rate limiting para prevenir scanning automatizado
    Manter logs centralizados para análise forense

    Recursos Adicionais:

    Nota de Segurança: Os IPs e domínios mencionados neste artigo foram mascarados ou alterados para fins de privacidade. As configurações apresentadas devem ser adaptadas ao seu ambiente específico antes da implementação em produção.

    Sobre o Autor: Este artigo faz parte da série sobre segurança de infraestrutura e monitorização com SIEM. Para mais conteúdo técnico sobre cibersegurança, siga o blog.

    Última atualização: Janeiro 2026