rehi ...

Also ich find deine antwortgeschwindigkeit ja besser als ICQ :)

geradezu märchenhaft, gelle ;-)
was mir fehlt (und auch weiter unten nicht ganz klar wurde), ist:

Weil das boese Script das / ausliest ist nicht mehr in der CHROOT
von "hacker" sondern wird von user "www-data" ausgefuehrt und kann somit / lesen.

nämlich: wenn "hacker" gleich "ww-data" ist, was macht das schon? Er ist ja nach der Linneschen Nomenklatur auch noch ein Mitglied einer bestimmten Gruppe, und der kannst du doch vorschreiben (als Provider) was sie darf und wer ihr sonst noch angehört. Laß ihn doch in seiner Gruppe allein  -  will ja eh keiner mit ihm spielen. Und sag der ganzen Gruppe, daß sie so ziemlich gar nix tun darf

Interessanter Teil: Die Apache Developer wussten keine Loesung :)

vielleicht lesen sie zuwenig Märchen ...

Christoph S.