如何使用Melee检测你的MySQL实例是否感染了恶意软件

关于Melee

Melee是一款针对MySQL的安全监测工具，该工具专为蓝队阵营设计，旨在帮助安全研究人员、渗透测试人员和威胁情报专家检测MySQL实例中的潜在感染，以及是否运行了恶意代码。

很多威胁行为者会滥用MySQL实例在网络上执行恶意操作，他们会以暴露的MySQL实例为攻击目标，发动大规模感染攻击，然后以泄露数据、破坏数据和数据勒索赎金为最终目的。该工具除了能够帮助我们检测MySQL实例是否感染了勒索软件或恶意软件，还可以允许我们在针对云数据库的恶意软件研究领域进行高效学习和分析。

功能介绍

当前版本的Melee支持下列功能：

1、MySQL实例信息收集和网络侦查；

2、检测暴露在互联网上的不安全MySQL实例；

3、用于评估远程命令执行的MySQL访问权限；

4、MySQL用户枚举；

5、MySQL勒索软件感染检测；

6、针对勒索软件感染检测的基础评估检查；

7、执行大规模安全评估与检查，以提取潜在勒索软件感染的详情数据；

8、MySQL勒索软件检测和扫描未经身份验证和经过身份验证的部署；

工具下载

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/adityaks/melee.git

然后切换到项目目录中，直接运行工具脚本即可：

cd meleepython3 melle.py

支持的模块

-map_mysql_geoip：映射MySQL主机的GeoIP；

-check_anonymous_access：验证远程MySQL主机是否可匿名访问；

- enum_mysql_db_names：枚举所有可用的MySQL数据库；

- enum_mysql_db_tables：枚举活动数据库的所有表；

- enum_mysql_db_users：枚举与MySQL数据库相关的所有用户名（仅MySQL用户）；

- enum_active_users：枚举所有登录的用户；

- check_ransomware_infection：检测潜在的勒索软件感染；

- deep_scan_ransomware_infection：执行深度搜索以提取受感染资源和勒索信息；

工具使用

命令格式

python3 melee.py  <mysql host (local or remote)> <mysql service port> <mysql username> <mysql password> <module>

使用样例

python3 melee.py 99.34.123.xxx 3306 root root check_ransomware_infection

python3 melee.py 89.34.451.xxx 3306 root "" deep_scan_ransomware_infection

工具运行截图

项目地址

Melee：

https://github.com/adityaks/melee

【

原文始发于微信公众号（FreeBuf）：如何使用Melee检测你的MySQL实例是否感染了恶意软件