Ik ben een lid van het staff team bij een Vbulletin forum. Nu zitten we met een hacker probleem. Om een of andere reden kan deze hacker toch admin verkrijgen, ookal gebruiken wij de nieuwste versie(Legale versie). Hij zet anderen admin, and delete posts en dergelijke. Toch is de admin section beveiligd met een IP check. Hoe kan hij nog steeds access hebben dan?
Ik weet niet of het bestaat, maar er werd een suggestie gedaan door een van de admins dat het om een programma gaat die zich zelf vast hookt aan de apache server.
Misschien dat iemand hier iets op weet?
Hij zit achter een proxy en vult bij wijze van zelf zijn ip-adres in?
Het ip-adres haal je waarschijnlijk uit $_SERVER['REMOTE_ADDR'], en dat is wel te vervalsen.
Hoe controleer je op het IP adres? Gebruik je een functie, of een variabele anders dan $_SERVER['REMOTE_ADDR']? Volgens mij is REMOTE_ADDR juist de enige header waar het ip-adres in staat welke niet te vervalsen is, dit is het daadwerkelijke ip-adres waarvandaan de request komt (dat kan dus een proxyserver zijn, of intern, als je een interne proxy zoals haproxy gebruikt)
Ik ben wel tegengekomen dat mensen denken slim te zijn door te zoeken naar headers die proxyservers meesturen, en op basis daarvan het ip-adres te bepalen. Maar die headers zijn juist heel gemakkelijk te vervalsen, waardoor je niet eens meer een proxyserver hoeft te gebruiken >:)
