phpbb vraagje

[Zotte Mus]

Hoi

Dit is misschien een rare vraag maar ik weet niet waar ik het anders moet stellen. Ik ken niet zoveel van phpbb...

Ik was lid op een forum (phpbb), ben er zelfs moderator geweest maar door privé-conflicten met een administrator daar ben ik er vertrokken.
Nadien kreeg ik te horen, dat men met mijn account op dat forum, berichten postte met beledigingen aan het adres van o.a. de administrator. Betreffende berichten werden gepost op een moment dat ik niet achter mijn PC zat, iemand anders heeft mijn account gebruikt om deze berichten op dat forum te posten. Verschillende mensen hebben deze berichten bevestigd, maar ze zijn natuurlijk allang verwijderd.
Het vreemdste van al is dat ik nog steeds kon inloggen met mijn eigen passwoord, dus mijn paswoord is niet gekraakt en gewijzigd. Ik ben er zelfs niet geband of welke sanctie ook. Ik kan gewoon op het forum, net als ieder ander lid. Gezien de reglementen daar (op beledigen e.d.) vind ik dat wel eigenaardig maar soit....

Een vermoeden dat ik heb, is dat men via een administrator-account in mijn account kon, zonder mijn paswoord te wijzigen. Alleen weet ik niet genoeg van phpbb om te weten of dit mogelijk is.
Is er iemand die weet, of een administrator via zijn/haar admin-account bv. aan andere mensen een ander paswoord kan geven van een bepaalde account zonder dat de eigenaar van deze account er iets van merkt, of op één of andere manier kan inloggen in een bepaalde account zonder het paswoord te moeten kennen?

Ik heb voor alle zekerheid mijn paswoord daar gewijzigd, maar ik wil graag zeker zijn dat deze wijziging voldoende is om te vermijden dat nog meer van dergelijke berichten met mijn account worden gepost door iemand anders. Maar ik vrees dat door een of andere vorm van backup het mogelijk moet zijn om zo iets te flikken, met een admin-account, en in dit geval haalt een nieuw paswoord niks uit.

Hopelijk kan iemand deze vraag beantwoorden....

Groetjes

Zotte Mus
_________________
Ga toch
vliegen vangen

in je world
wide
web

Webmus Webdesign : www.webmus.be

[ArnoOnline]

(Verouderde) versies van phpBB zijn nogal kwetsbaar voor hackers. De bugs in phpBB kunnen er dan voor zorgen dan hackers toegang krijgen tot (administrator)accounts zonder het pasword te bezitten. Ook is het misschien wel mogelijk om de cookies te 'faken'. Een kopie van cookies op jouw computer (gejat via een of ander script) of zelf gemaakte cookies kunnen er dan voor zorgen dat iemand zonder je pasword te hebben toch in kan loggen.
_________________
Life would be great if we only had the source code...

[Zotte Mus]

Dat formu is wel enkele jaren oud, ik ben er toch al zeker twee jaar lid van geweest en ik denk dat het forum twee, drie jaar oud is.

Wat betreft cookies van m'n pc : buiten mezelf en m'n vriend komt normaal niet direct iemand op de PC. Degenen die ik hier mogelijk van 'verdenk' komen ook niet op mijn PC. De betreffende admin met wie ik ruzie heb, is zelfs al enkele maanden voor de ruzie niet bij mij geweest en kent ook niet genoeg van PC's om dergelijke scriptjes te kennen. Andere mensen die in het conflict betrokken zijn, zijn nooit bij mij thuis geweest dus ook al helemaal niet op mijn PC, die beveiligd is met Windows Firewall, Winpatrol en een router die niet zomaar IP-adressen doorlaat. Dus ik zou echt niet weten hoe ze aan m'n cookies geraken.

Maar ik vroeg me af of admins van een PHPBB-forum ook niet in staat zijn om op de één of andere manier met paswoorden van leden te klooien. Zoals bv een backup te nemen van de login-gegevens van een bepaald lid, paswoord efkes veranderen, berichten posten onder de account van het lid en nadien de gebackupte logingegevens er terug opzetten, zodat het lid er niets van gemerkt heeft, en weer gewoon onder zijn eigen paswoord kan inloggen.

Degenen met wie ik een conflict heb kennen voor zover ik het weet niets van hacken, maar dat wil natuurlijk niet zeggen dat ze geen vriendjes hebben die het wél kunnen natuurlijk....
Ben echt wel benieuwd of de wijziging van m'n paswoord iets uithaalt... ik vind het namelijk niet erg leuk dat men onder mijn account beledigende berichten post. Ik laat de mensen met rust, en zou zelf ook met rust gelaten willen worden, wat wel logisch is...


In elk geval bedankt voor je antwoord!


groetjes, Zotte Mus
_________________
Ga toch
vliegen vangen

in je world
wide
web

Webmus Webdesign : www.webmus.be

[ArnoOnline]

Zolang zij een oud forum gebruiken zonder updates van beveiligingen / mods zal een hacker altijd toegang kunnen krijgen tot het forum zonder passwords e.d. Daarvoor bestaan standaardmethoden die her en der op internet staan.

De optie van de backup is ook een mogelijkheid (passwords zijn wel versleuteld maar dit is makkelijk zelf te doen (md5)), maar wel erg ver gezocht. Iemand die zo een website beheerd is geen goede beheerder en zou eigenlijk gedegradeerd moeten worden (naar gebruiker).
_________________
Life would be great if we only had the source code...

[Zotte Mus]

Bedankt voor je antwoord...
Paswoord is intussen gewijzigd, als er nu nog berichten gepost worden wil dat toch zeggen dat er iemand via een admin-account die dingen doet. Of een hacker die doelgericht is, en weet welke conflicten er spelen en er handig gebruik van maakt.

Soms moet je het (jammer genoeg) ver zoeken om ergens een eind aan te krijgen.

Ik wacht nu af of ik nog iest hoor, tot nu toe is het stil op dat gebied, hopelijk blijft het zo....

Zotte Mus
_________________
Ga toch
vliegen vangen

in je world
wide
web

Webmus Webdesign : www.webmus.be

[ArnoOnline]

Een goede website heeft goede logs. Tenzij de admins er mee lopen te spelen.
_________________
Life would be great if we only had the source code...