PHPで作ったサイトへの不正アクセス...その後

昨日深夜、それは発生しました。

私がベッドに入り眠りに付こうとした瞬間に事務所から携帯に着信。内容は「また画像が差し替えられている」との事。

画像だけじゃなくてリンク先URLも改竄されていると言う事は、当該スクリプトを呼び出して実行した可能性が高い。だが、そのスクリプトには既に前述のエントリーで書いたコードが入っている。しかも、この機能は管理者権限ではなくてはならないので、array_key_existsで$_SESSION変数のキーを確認した後に、それが管理者のキーであるか否かを判断している。どちらもエラーの場合はdieさせている。

$_SESSIONに管理者変数を埋め込むのはログイン画面だ。こうなると疑わしいのはIDとパスの流出。

その旨を上司に伝えるが、あまりにも無頓着。以前、サイトがウィルスに感染した時もこの人のPCからだった。頼むからアンチウィルスとセキュリティはしっかりしておくれよ...orz

上司は所謂企画屋・営業屋であって、システムに関してはユーザーレベル。なので、こちらが筋道立てて話そうが理解不能。

とりあえずの対策を入れて監視業務を３時までやって、その後改竄が無い事を確認して就寝しました。

あのね...自分のPCのセキュリティの甘さが引き起こしたんだよ。それをシステムのせいにするのはやめようよ。

まして、鬱患者には規則的な生活と、睡眠が不可欠って言っているのに、この無茶振りは何？

頼むよ、ホント...orz