En la primera pregunta, pues no se, no puedo responderte porque no se mucho con respecto al tema, pero, en cuanto a lo de hackear una cuenta, pues me imagino que dependera de la seguridad del foro y de los conocimientos del atacante, no se, me imagino.
Gracias por vuestra atencion.
Saludos.

Tendrias que cambiar las dos no podria ser una sola por ejemplo

xxx.xxx.x.20 -> PC

xxx.xxx.x.30 -> Host

Se podría quedar así:

xxx.xxx.x.30 -> PC

xxx.xxx.x.30 -> Host

El X_FORWARDED_FOR ya no se utiliza como una manera de obtener la IP de un usuario. Puesto que es realmente vulnerable con tan solo editar el header que envias hacia el servidor.

Ahora se utiliza REMOTE_ADDR que obtiene la IP del visitante directamente sin consultar nada al navegador.

Por tanto el spoof de ip ya es algo mas complicado. Y si foroactivo sigue utilizado este obsoleto método para detectar la IP.. es que tienen serios problemas de seguridad..

Saludos

¡Buenas Necart!

En cuanto a esta pregunta...

Creo que lo que quieres saber en realidad es...¿Que probabilidad hay de que la persona que ha hackeado tu foro sea la misma persona cuya ip es la del usuario que te han dicho los de foroactivo?

La respuesta es...que la probabilidad es casi del 100%. Seguramente ese usuario del que sospechas sea el que ha hackeado el foro.

En cuanto al tema del Ip-Spoofing es imposible que hayan utilizado esa tecnica para hackear el foro, me explico.

Hacer Ip-Spoofing consiste en cambiar la ip de origen de la cabecera de tus paquetes y poner que la ip de origen es otra. Pero esto tiene un problema, y es que si yo mando paquetes a un servidor con ip de origen = 1.2.3.4 el servirdor mandara sus paquetes de respuesta a la ip 1.2.3.4 y por tanto las respuesta del servidor nunca me llegaran a mi. Y el problema esta en que para hackear un servidor necesito saber cuales son las respuestas del servidor. La necesidad de saber las respuestas del servidor nace de que al iniciar una conexion TCP los paquetes de respuesta del servidor (y del cliente) llevan un numero de secuencia que es generado de manera aleatoria por el servidor (y el cliente), y los numeros de ACK del servidor son los numero de secuencia del cliente, y los numeros de ACK del cliente son los numeros de secuencia del servidor.

Ejemplo:

Cliente: numSeq=1234 longitudDatos=0;
Servidor: numSeq=6789 longitudDatos=0;
Paquete del cliente: numSeq=1254 numACK=6789 longitudDatos=20; (numSecuencia=numSecuencia anterior + logitudDatos;
Paquete del servidor: numSeq=6799 numACK=1254 longitudDatos=10;

Para verlo graficamente...: http://www.flu-project.com/wp-content/uploads/tcp_handshake3.png

Como ves en este ejemplo, el cliente necesita saber cuales son los numeros de secuendia de los paquetes del servidor para poder mandar los numeros ACK de manera correcta. Si el hacker hiciera IP-Spoofing  las respuestas del servidor no le llegarian y por tanto no sabria que numeros ACK mandar y el servidor rechazaria la conexion.

Asi que con esto concluyo que el IP-Spoofing no se puede usar para este tipo de ataques y que el usuario del que sospechas es el hacker que buscas.

En cuanto a la tecnica seguida por el hacker me animaria a decir que uso SQLinjection, tecnica que permite loguearte a un servidor como administrador y toquetear todo lo que el hacker quiera.

En cuanto a lo dicho por kaiserr...

Que yo sepa no se puede spoofear un IP sin modificar el campo IP-origen en la cabecera del paquete, ya que si existira un forma de hacerlo significa que la cabecera contiene tu IP real y en el campo de datos iria expecificada la IP a spoofear y esto no serviria de nada puesto que en el log del servidor queda guardada la ip de la cabecera y por tanto serias cazado por el log del servidor...

Espero haberos servido de ayuda, un saludo.

Pues yo tambien doy las gracias por la explicacion, como dije, no lo habia probado nunca y me basaba en lo que habia leido.

Gracias soyloqbuskas