Ce doit être la rançon du succès : le ver qui frappe actuellement les serveurs MySQL est le premier à s’attaquer à la base de données libre.

Concrètement, Forbot-DY recherche des installations de MySQL sous Windows, accessibles directement depuis Internet et dont le compte administrateur est mal protégé. Il dispose notamment d’une collection de mille mots de passe courants qu’il essaiera afin de prendre pied sur la machine.

Une fois dans la place Forbot utilise une faille locale connue (MySQL UDF Dynamic Library Exploit) afin de télécharger puis installer une porte dérobée sur le serveur. C’est cette dernière (identifiable par un processus appelé spoolcll.exe) qui a permis de donner l’alerte, d’abord sur la liste de diffusion spécialisée Full Disclosure.

Le parasite force alors le serveur à se connecter à un salon de discussion IRC et y attendre les ordres de son créateur. L’objectif de cette épidémie est donc de créer un réseau d’ordinateurs zombies, l’une des grandes tendances de 2004. La tâche de ce réseau est pour l’instant de scanner internet à la recherche de nouvelles machines à infecter. L’Internet Storm Center notait d’ailleurs déjà, peu avant la publication de l’alerte, une recrudescence des scans contre les ports 3306 (MySQL). A ce jour, plusieurs milliers de machines seraient infectées si l’on en croit les observateurs allés faire un tour sur le salon IRC où se retrouvent les zombies infectés.

Il n’est pourtant pas très difficile de se protéger de cette variante de Forbot : il suffit d’interdire la connexion au compte administrateur depuis Internet (ce qui est le cas par défaut mais cette restriction est parfois levée pour les serveurs de développement) ou de protéger le serveur derrière un pare-feu lorsqu’il n’est utilisé qu’en local (par exemple lorsqu’il n’est accédé via le web qu’à travers le couple Apache/PHP).

Attention cependant : MySQL est susceptible d’être utilisé dans de nombreuses applications sans qu’il en soit fait état. On le retrouve ainsi dans des outils de backup, d’archivage ou de statistiques. Ces produits sont donc potentiellement vulnérables et il est souvent difficile de connaître la configuration de leur serveur MySQL.

Cette première attaque a toutefois eu un impact imprévu et appréciable : l’amélioration de MySQL. Les prochaines versions bénéficieront ainsi d’un système de mises à jour automatiques et d’une installation par défaut plus robuste. C’est toujours ça de pris !