1) Hvis config filen ikke hadde endelse .php , hvis de klarte å skrive en .htaccess fil som slo av PHP, eller hvis de klarte å laste opp et hvilket som helst script og få det kjørt så kan de også lese innholdet av konfigurasjonsfilen.
2) Avhenger av hvordan serveren er satt opp. Det er sånt SELinux og riktige filrettigheter fikser. Men alle filene som webserveren kan vise kan de som regel få tak i, når de først er inne. Du kan jo bare skrive et lite PHP script som viser filene på harddisken, og se hvor langt du kommer.
3) Det blir nesten bare synsing hvis du ikke har loggfiler som er til å stole på, eller disken på maskinen som ble hacket. Hvis du kontrollerer serveren og dette er en gjenganger så bør du se på verktøy som TripWire.
Det største problemet med de fleste hostingløsningene (siden du nevner cPanel) er at de bruker suexec for å kjøre programmene med samme rettigheter som kontoen til brukeren. Dvs. at scriptene alltid kan modifisere seg selv (de kan jo kjøre chmod, de også), og da kan de bare hoppe over innloggingskoden.
Bedre praksis er det å ha to kontoer per bruker. En som brukes for å laste opp filene, og en som webserveren bruker. (Standard oppsett i de fleste distribusjoner er at det finnes en Apache bruker, og den kjører alt. Det er heller ikke bra, hvis du har mer enn to webkontoer på maskinen.)
4) Umulig å si. Kommer jo an på om koden har snutter som ikke escaper input riktig eller ikke. Det er fortsatt overraskende mange som oppdager at de burde oppdatert kernel,
http://linux.slashdot.org/story/10/09/2 ... t-MachinesHvis sistnevnte har skjedd så ligger det nok noe remote control rundt omkring, og de vil snart være tilbake.
Som sagt i 3) , chmod alene sikrer deg ikke nevneverdig så lenge webserveren også er eieren av filene. Men en god SELinux eller AppArmor profil kan ta deg langt.
Det er veldig få som virkelig kan det å skrive sikker kode, tenk på det før du setter i gang. Jeg er mere tilhenger av å gjennomgå applikasjonen og spesielt se på hvilke muligheter anonyme brukere har for å sende data inn i systemet. Dvs. sjekke kommentarfelt, søkefelt, opplasting av filer. Generelt ha så få av disse som mulig, sett rimelige lengdebegrensninger på resten.