openSUSE 11.2, apache2 + "PHP Safe Mode = Off" = дыра?

Доброе время суток!

Обнаружил удачную попытку проникновения на сервер,
апачем был с’апложен перловый скрипт в /tmp и запущен.

Все выходные сервак был занят рассылкой спама от имени пользователя wwwrun:)

Стоит openSUSE 11.2 с актуальными обновлениями, apache2 + PHP5.
Вопрос такой - достаточно ли выключения Safe Mode в /etc/php5/apache2/php.ini,
чтобы такое было осуществимо, или искать дыру где-то в другом месте?

Если кому-то интересно, могу показать запускавшиеся скрипты:)
Ну и куски логов, при необходимости.

Уязвимость то скорее в используемом вами веб приложении( о котором Вы, кстати, не рассказали почему то).
Если в php.ini не было disable_functions таких как system(), exec() etc, и через веб приложение можно было залить файл и выполнить код для запуска , то это вполне очевидная ситуация.
А вообще /tmp полезно отдельно монтировать с опцией noexec на такого рода серверах.

Спасибо за ответ. Приложение - корпоративный вебсайт (мопед не мой), разработчик утверждает, что анонимно саплодить и выполнить файл на сервере невозможно.

Впрочем, вот сейчас нашел там phpmyadmin, возможно, дырявый.

Насчет disable_functions - посоветуйте, пжл, где почитать, в настройках пхп пока мало чего понимаю.

По поводу /tmp - да, спасибо, что напомнили, на днях поправлю.

Ну т.е. формально PHP Safe Mode = Off не при чем, я правильно понял? И при прочих правильных настройках можно Safe Mode выключить?

Аплод происходил вот так, кусок error_log:

[Sat Aug 14 10:25:20 2010] [error] [client 95.58.169.226] PHP Warning:  fopen(logip.txt): failed to open stream: Permission denied in /srv/www/htdocs/index.php on line 234
[Sat Aug 14 10:25:20 2010] [error] [client 95.58.169.226] PHP Warning:  fwrite() expects parameter 1 to be resource, boolean given in /srv/www/htdocs/index.php on line 236
[Sat Aug 14 10:25:47 2010] [error] [client 95.58.169.226] PHP Notice:  Undefined variable: PHP_SELF in /srv/www/htdocs/index.php on line 72, referer: http://www.mydomain.org/
[Sat Aug 14 10:25:47 2010] [error] [client 95.58.169.226] PHP Warning:  fopen(logip.txt): failed to open stream: Permission denied in /srv/www/htdocs/index.php on line 234, referer: http://www.mydomain.org/
[Sat Aug 14 10:25:47 2010] [error] [client 95.58.169.226] PHP Warning:  fwrite() expects parameter 1 to be resource, boolean given in /srv/www/htdocs/index.php on line 236, referer: http://www.mydomain.org/
[Sat Aug 14 10:25:50 2010] [error] [client 95.58.169.226] File does not exist: /srv/www/htdocs/images, referer: http://www.mydomain.org/index.php?slink=corporativ
--2010-08-14 10:31:25--  http://89.97.240.11/fetch.txt
Connecting to 89.97.240.11:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 37358 (36K) [text/plain]
Saving to: `fetch.txt'

     0K .......... .......... .......... ......               100% 68.2K=0.5s

2010-08-14 10:31:26 (68.2 KB/s) - `fetch.txt' saved [37358/37358]

safe modе косвенно причем, т.к. он вырубает ряд функций PHP: Functions restricted/disabled by safe mode - Manual
Обойтись можно и без него.
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Справку по функциям можно найти на php.net
Неплохой чеклист :
Checklist for Securing PHP Configuration | Ayman Hourieh

UPD: да, кстати phpmyadmin обновите обязательно, его этот месяц эксплуатируют активно, сплоит в паблик упал.