RELATÓRIO PERIÓDICO DE HONEYPOT

Atividade de sondagem e tentativas de exploração em recursos externos

Período de referência	01/05/2026 – 31/05/2026	Tipo de fonte	Honeypot público
Total de pedidos	850	Recursos distintos	88
Resultado	Todos 404 / 403	Data de emissão	01/01/2026

1. Sumário executivo

Este relatório resume a atividade de sondagem registada no honeypot durante o período de referência. O honeypot é um sistema deliberadamente exposto, sem dados reais nem ligação à infraestrutura de produção, cujo objetivo é atrair, registar e caracterizar tentativas de exploração automatizadas oriundas da internet.

No período em análise foram registados 850 pedidos sobre 88 recursos distintos, todos sem sucesso (resposta 404/403). A grande maioria corresponde a tráfego de scanners automáticos e botnets que percorrem a internet à procura de sistemas vulneráveis conhecidos.

Conclusão: não há indício de comprometimento. A atividade observada é o ruído de fundo esperado para qualquer endereço IP exposto. O valor deste relatório está na monitorização de tendências ao longo do tempo e na identificação precoce de novas campanhas de exploração.

2. Distribuição por categoria de ameaça

As tentativas foram classificadas nas seguintes categorias, por intenção do atacante:

Categoria	Pedidos	%	Descrição
Reconhecimento padrão / benigno	482	57%	Pedidos automáticos a favicon.ico, robots.txt, sitemap.xml, security.txt e endpoints de framework (Next.js, SDK). Ruído de fundo.
Webshells / backdoors	86	10%	Verificação de ficheiros .php típicos de máquinas já comprometidas (mini.php, motu.php, md5.php, etc.).
Sondagem Struts / Java / login	74	9%	Pedidos a *.action, *.do, *.jsp à procura de Apache Struts e painéis de autenticação Java.
Exploits de produtos específicos	70	8%	GeoServer, Cisco ASA, SonicWall, SAP, Squid, Laravel Telescope, Druid.
Exposição de credenciais / config	44	5%	Tentativas a /.git/config, /.aws/credentials, /.aws/config, /admin/config.php.
RCE em routers / IoT	26	3%	Injeção de comandos em TP-Link, GPON, D-Link/Boa, ZTE.
Divulgação de informação (PHP)	24	3%	phpinfo.php, info.php, test.php, server-status.
Exploits de upload / connectors	6	1%	webuploader e elFinder connector.php.

Nota: as percentagens são arredondadas. O tráfego “benigno/reconhecimento” é incluído por contexto, mas não representa tentativa de exploração.

3. Recursos mais visados

Os recursos abaixo concentraram o maior número de pedidos no período e correspondem a vetores de ataque conhecidos:

Recurso pedido	Pedidos	Vetor associado
/geoserver/web/	24	CVE GeoServer (RCE via OGC Filter)
/.git/config	20	Repositório Git exposto
/squid-internal-mgr/cachemgr.cgi	16	Gestor de cache Squid
/admin/config.php	12	Painel admin / config PHP
/mini.php	8	Webshell
/SDK/webLanguage	32	Sondagem de dispositivos Hikvision/IoT
/cgi-bin/luci/…country=$(wget|sh)	8	RCE TP-Link (injeção de comando)
/+CSCOE+/logon.html	6	Portal Cisco ASA SSL VPN
/developmentserver/metadatauploader	8	CVE SAP NetWeaver

4. Análise dos principais vetores

4.1. Webshells e backdoors

Categoria mais ativa entre as tentativas reais de exploração. Os scanners verificam a presença de ficheiros .php com nomes típicos de backdoors já plantadas (por exemplo mini.php, motu.php, md5.php). O objetivo é identificar máquinas previamente comprometidas por terceiros e reutilizá-las.

4.2. Exploração de routers e dispositivos IoT

Inclui tentativas de injeção de comando remoto contra firmware de routers domésticos e equipamentos de rede: TP-Link (interface luci), GPON, D-Link/Boa e ZTE. Estes pedidos visam recrutar dispositivos para botnets do tipo Mirai.

4.3. Exposição de credenciais e configuração

Pedidos a /.git/config, /.aws/credentials e /.aws/config procuram repositórios de código e chaves de cloud deixados acessíveis por erro de configuração. É o vetor de maior impacto potencial caso encontre um alvo real.

4.4. Exploits de produtos específicos

Sondagem dirigida a vulnerabilidades conhecidas (CVE) em produtos como GeoServer, Cisco ASA, SonicWall, SAP NetWeaver e Apache Struts. A presença destes pedidos indica campanhas que exploram falhas por corrigir em software empresarial.

5. Indicadores e tendências

Para acompanhamento periódico, recomenda-se registar e comparar os seguintes indicadores entre relatórios:

• Volume total de pedidos e número de recursos distintos.
• Variação percentual por categoria face ao período anterior.
• Surgimento de novos vetores ou CVE recém-divulgadas.
• Picos de atividade concentrados num curto intervalo (possível campanha dirigida).
• Repetição de padrões a partir de blocos de rede identificáveis (a anonimizar antes de publicação).

6. Recomendações

As recomendações abaixo aplicam-se à proteção de qualquer serviço exposto à internet e refletem boas práticas gerais de segurança:

• Confirmar que recursos sensíveis (.git, .env, .aws, phpinfo.php) não são servidos em produção; negar explicitamente o acesso a dotfiles.
• Manter Fail2ban ou equivalente para banir origens com excesso de 404 ou pedidos a vetores conhecidos.
• Manter uma WAF (ModSecurity + OWASP CRS, ou solução gerida) à frente dos serviços expostos.
• Garantir atualização de software empresarial exposto, dado que a maioria das tentativas visa CVE antigas.
• Confirmar que páginas de erro não revelam versões nem caminhos internos.

7. Notas metodológicas

Os dados resultam exclusivamente de tráfego dirigido ao honeypot — um sistema deliberadamente exposto, sem dados reais nem ligação a qualquer infraestrutura de produção. Não contêm dados pessoais, endereços internos nem informação de clientes.

Os endereços IP de origem e quaisquer identificadores foram removidos ou agregados. Os números apresentados são totais e percentagens, adequados a divulgação pública. Este relatório pode ser partilhado livremente como contributo para a consciencialização sobre a atividade de sondagem automatizada na internet.