hallo, ich habe einen user der ein wenig stress macht! meine frage nun wie sicher ist das admincenter und wie schwer oder leicht ist es ein passwort eines user heraus zu bekommen. dieser user meinte:

Deine User bekommen deine Mail nicht.

Dafür habe ich vor ein paar Monaten schon gesorgt.

Nur hast du es nicht gemerkt wie es ausschaut.

Ich hätte dir das ganze Forum Plätten können.

So berauschend sind Sicherheitshacks nicht.

Für einen von meinem Status kein Problem mal in ACP zu schauen mal eben mit einen Fremden Nick einloggen und dann ein paar Mailadis und Passworte zu ändern oder auch mal eben 10 Mitglieder zu Löschen. Hähähähä.

Und du hast es nicht mal bemerkt wie es aussieht.

Du kommst nie dahinter wer ich bin.

Ich würde nur gerne wissen wen du so alles Verdächtigst.

Dafür hast du nicht die Kapazitäten.

Vertrödel nicht deine Zeit mit IP Nummern und sonen Quatsch.

Da kann man auch was drann drehen.

laut admin log war kein anderer im admincp als meine wenigkeit und mein 2ter admin! was soll ich davon halten? alles nur heisse luft???

besteht die möglichkeit das derjenige einen useraccount gehackt haben kann? und wie sicher ist ein htaccess im ordner "admincp"? habe dort mal vorsichtshalber einen htaccess eingefügt um ein wenig sicherheit zu haben!

vielen dank im voraus

Gozen

alles nur heisse luft???Wenn im Log nichts zu finden ist, ja.

Wie sicher ein .htaccess Schutz oder ein Benutzerkonto ist, hängt natürlich vom Passwort ab. Wenn du einen Benutzer namens "test" hast, der das Passwort "test" hat, muss man nicht viel "hacken" - da reicht gesunder Menschenverstand bzw. reines Ausprobieren.

Einer der unzähligen Artikel zum Thema "sicheres Passwort":

http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/

Wichtig ist auch, dass diese Option auf "Ja" gesetzt ist:

Administrator-Kontrollzentrum -> vBulletin-Einstellungen -> Allgemeines -> Anmeldeversuche beschränken

danke schön erstmal für die antwort. habe natürlich nicht test als user:) der benutzername ist schon einer der nicht so gewöhlich ist und das passwort demendsprechend auch!
die option mit den anmeldeversuchen ist bei mir aktiviert!
naja ich mach mit erstmal keine weiteren sorgen:)

Wenn im Log nichts zu finden ist, ja.
Jein.
Wenn er Zugriff auf phpinclude_start hatte könnte er dort speziellen Code plaziert haben welcher das Addminlog säubert und sich auch anschließend selbst entfernt.
Das wäre dann schwer nachzuvollziehen, höchstens anhand Apache Log und/oder fehlender IDs im adminlog.

im logfile ist mir ncihts aufgefallen da sah alles "normal" aus! ich denke mal das war wirklcih nur heisse luft! denn wenn er wirklcih einen hass auf mich hat dann hätte er mir das board ja gekickt!
ich werde aber in ruhe nochmal alles durch gucken!
ich danke euch für eure hilfe!

Ein Angriffspunkt könnte noch der Datenbankserver sein - dort auch ein sicheres Passwort verwenden, und (falls möglich) Verbindungen von außerhalb verbieten.

Dass er das Passwort einiger User geknackt haben will, kann nur daran liegen, dass sie einfache Passwörter verwendet haben. Die Passwörter werden bei vBulletin zwei mal md5-verhasht gespeichert. Da braucht man ettliche Rechenleistung, um diese zu knacken.

Noch ein Tip:

alphanumerische PWs + cAsE SeNsitiVe verwenden. ;)

dann ists schonmal wieder schwerer....