Entre 2024 e março de 2026 foi mantido em funcionamento um servidor deliberadamente exposto à Internet com um objetivo simples: observar quem tenta entrar. Este tipo de sistema é conhecido como honeypot, uma infraestrutura configurada para atrair e registar tentativas de ataque, permitindo estudar o comportamento de scanners automáticos, botnets e operadores humanos.

A análise de um ficheiro de logs com 80.637 pedidos registados permite observar como evoluem os padrões de ataque na Internet. Depois de filtrado o ruído normal — pedidos legítimos à página inicial, media files e tráfego interno — obtiveram-se 45.865 eventos externos suspeitos distribuídos por três anos.

Os números mostram um crescimento claro da atividade maliciosa.

Em 2024 foram registados 15.196 eventos suspeitos.
Em 2025 esse número subiu para 23.456.
Em 2026, apenas até 9 de março, já existiam 7.213.

Isto significa que, apesar de 2026 estar incompleto, o ritmo de sondagens e tentativas de exploração continua elevado.

O que realmente acontece quando um servidor é exposto

A ideia popular de um “hacker” a escolher manualmente um alvo específico raramente corresponde à realidade. A grande maioria do tráfego malicioso observado neste honeypot corresponde a varrimentos automáticos massivos feitos por bots que percorrem a Internet à procura de sistemas vulneráveis.

Estes scanners tentam milhares de caminhos diferentes à procura de ficheiros de configuração expostos, interfaces administrativas ou software vulnerável.

O padrão dominante é simples:
encontrar credenciais, roubar segredos ou identificar um ponto de entrada para uma intrusão posterior.

Os vetores de ataque mais frequentes

Ao longo dos três anos, alguns padrões repetem-se constantemente.

O mais persistente é a tentativa de acesso a ficheiros .env. Estes ficheiros são comuns em aplicações modernas e frequentemente contêm credenciais de base de dados, chaves de API, tokens de autenticação ou segredos criptográficos. Quando ficam expostos na web, podem permitir acesso direto a sistemas internos.

Outro alvo constante é a exposição da pasta .git. A tentativa de descarregar ficheiros como .git/config ou .git/HEAD serve para descobrir a estrutura do projeto e, em alguns casos, recuperar o código completo de uma aplicação.

Também surgem muitas tentativas de exploração da conhecida vulnerabilidade PHPUnit Remote Code Execution. Esta falha permite executar código num servidor caso versões antigas do PHPUnit estejam acessíveis publicamente.

Mais recentemente surgiram tentativas de injeção PHP usando parâmetros como allow_url_include e auto_prepend_file=php://input, uma técnica que procura forçar a execução de código malicioso através da query string.

Outro padrão visível é a procura de interfaces administrativas expostas. Alguns pedidos dirigem-se a routers, painéis de gestão ou plugins vulneráveis de WordPress.

Por fim, existe um volume considerável de testes de open proxy através do método HTTP CONNECT. Neste caso o objetivo é descobrir servidores que possam ser usados como proxy para esconder atividades maliciosas.

Quem está por trás destes scanners

A análise dos IPs mais ativos mostra um ponto importante: a maioria do tráfego não vem de computadores domésticos.

Os IPs mais ativos pertencem sobretudo a infraestruturas de cloud e hosting.

Entre os mais frequentes encontram-se endereços associados a:

Microsoft Azure
serviços de hosting europeus de baixo custo
VPS em países como Países Baixos, Alemanha, Reino Unido e França

Isto significa que muitos scanners estão a ser executados a partir de máquinas virtuais alugadas temporariamente, algo comum em operações automatizadas.

No conjunto total do ficheiro, os IPs mais ativos incluem:

172.190.142.176
185.224.128.47
180.184.171.155
185.91.127.81
130.12.180.52
13.79.87.25

O endereço mais persistente registou 429 eventos em 116 dias diferentes, testando 326 caminhos distintos, o que indica claramente um scanner automatizado de grande amplitude.

Como os padrões mudaram entre 2024 e 2026

Em 2024 predominavam tentativas de exploração relativamente antigas. A vulnerabilidade PHPUnit dominava claramente, seguida por sondagens de ficheiros .env e enumeração de painéis administrativos.

Em 2025 o padrão tornou-se mais agressivo e industrial. O scanning passou a cobrir mais caminhos e mais aplicações. O número de tentativas de acesso a .env e .git aumentou significativamente. O maior pico de todo o ficheiro ocorreu a 2 de setembro de 2025, com 1.426 eventos suspeitos num único dia.

Em 2026 o volume continua elevado, mas o perfil tornou-se um pouco mais focado. Os scanners procuram sobretudo três coisas: ficheiros .env, repositórios .git expostos e tentativas de injeção PHP. Surgem também mais tentativas de exploração de scripts como wp_filemanager.php, alfa.php ou inputs.php, que são frequentemente associados a web shells ou loaders de malware.

O período mais intenso de 2026

Desde meados de fevereiro de 2026 observa-se uma pressão constante no honeypot. Entre 15 de fevereiro e 9 de março registaram-se 2.686 eventos suspeitos.

Os dias mais ativos foram:

6 de março — 230 eventos
23 de fevereiro — 197
2 de março — 193
24 de fevereiro — 168

Este padrão sugere uma atividade contínua de scanners automáticos, não apenas picos isolados.

O papel de scanners ligados ao Irão

Uma das perguntas que procurámos responder nesta análise foi se parte destes ataques poderia estar ligada a infraestruturas iranianas.

Os dados mostram que a presença existe, mas é pequena.

Usando um conjunto conservador de IPs associados a redes iranianas ou possivelmente ligadas ao país, identificaram-se 196 eventos suspeitos, o que corresponde a cerca de 0,43% do total.

Em 2026 essa percentagem é ainda menor, cerca de 0,3%.

O IP mais relevante neste cluster foi 62.60.135.159, associado a uma empresa iraniana de telecomunicações. Este endereço aparece ligado a 119 eventos, sobretudo tentativas de acesso a ficheiros .env, backups e configurações.

O comportamento observado não corresponde a ataques destrutivos. O padrão é sobretudo recolha de credenciais e enumeração de sistemas, procurando segredos de aplicações ou ficheiros de configuração.

A verdadeira conclusão

O resultado mais importante desta análise não é identificar um país específico.

O que o honeypot revela é algo mais simples: a Internet está permanentemente a ser varrida por scanners automáticos.

A maioria das tentativas de intrusão não resulta de ataques direcionados. Resulta de bots que percorrem milhões de servidores à procura de sistemas mal configurados.

Quem domina este tráfego não são necessariamente Estados ou grupos sofisticados, mas sim infraestruturas de cloud usadas para scanning automático em grande escala.

Isto significa que qualquer servidor exposto à Internet será inevitavelmente sondado. A única defesa real não é esconder-se, mas garantir que:

ficheiros sensíveis não estão expostos
software está atualizado
interfaces administrativas não estão acessíveis publicamente
credenciais e segredos não são guardados em locais acessíveis pela web

O honeypot mostra uma realidade desconfortável, mas clara: Na Internet atual, não é preciso ser um alvo para ser atacado. Basta estar ligado.