É possivel hackear um site com qualquer extensão mesmo com uma extensão que não existe (ficheiro.king) é possivel hackear um site.
=Iceburn= O que tens que fazer é ver o código que está dentro do ficheiro *.thm e se achares que o código pode permitir ataques então apagas e das um ban ao usuario. Não acho justo dares ban a um usuario sem saberes se o ficheiro pode permitir ataques ao servidor o nome do ficheiro é php.thm mas não quer dizer que esse ficheiro serve para atacar o servidor.
Mas eu ví o ficheiro, Kingless, a intenção dele ere mesmo hackear ou roubar -me o trabalho. O script era esse que eu referi,
phpremoteview (Se ainda não viste o código, tens aqui:
http://www.mudmagic.com/codes/dl/1557/remview.txt) tava dentro do ficheiro, aquilo não era nenhum tema para telemóvel, ere mesmo texto, texto php. E obviamente apaguei de imediato o ficheiro.
Felizmente na altura em que criei o código lembrei-me de cenas tipo estas, e permiti apenas um ponto (.) no nome do ficheiro.
Tipo, um ficheiro chamado imagem.php.gif seria muito mais fácil moldar do que um php.gif por exemplo, isto na minha opinião, não sei, mas eu penso assim, até pode nem ter nada a ver...
n tem nd a ver com o php.ini, mas sim com o servidor. o servidor so deve estar a usar o php para processar ficheiros .php, .php3 ou .php4, pa outros n deve estar. tu deves puder alterar isso num ficheiro .htaccess, ms provavelmente n o fizeste. se o servidor é seguro e n tiver falahs que comprometa a execução de ficheiros php sem ser essas extensões válidas que to bloqueias antes de se quer puderem ser enviadas, então n deverás ter problemas nenhuns...
para o servidor, esses ficheiros n são nada mais que ficheiros com cenas escritas...
Desculpa, não quero estar a pôr em causa os teus conhecimentos, mas tambem pode ter a ver com o php.ini, se por exemplo tiver o safe_mode em OFF, isso pode representar um buraco na segurança de um site.
Por acaso ainda não reparei se tem ou não, porque tou a fazer o backup do site, mas depois vou ver o phpinfo(), de qualquer maneira duvido que esteja off.
E em relaçao aos MIME Types, é isto que o servidor aceita:
application/java-archive jar
application/vnd.Nokie.ringing-tone rng
application/vnd.nokia.gamedata nqd
application/vnd.symbian.install sis
application/vnd.wap.sic sic
application/vnd.wap.wmlc wmlc
application/x-nokiagamedata ngd
application/x-pmd .pmd
application/x-smaf .mmf
audio/amr amr
audio/midi midi
audio/vnd.qcelp .qcp
image/vnd.nok-3dscreensaver n3a
image/vnd.nok-oplogo-colornokia-op-logo nok
image/vnd.wap.wmbp wbmp
image/x-bmp bmp
image/x-epoc-mbm mbm
text/v-vCard vcf
text/vnd.sun.j2me.app-descriptor jad
text/vnd.wap.si si
text/vnd.wap.sl sl
text/vnd.wap.wml wml
text/vnd.wap.wmlscript wmlsc
text/x-co-desc cod
text/x-vCalendar vcs
application/andrew-inset ez
application/atom+xml atom
application/mac-binhex40 hqx
application/mac-compactpro cpt
application/mathml+xml mathml
application/msword doc
application/octet-stream bin dms lha lzh exe class so dll dmg
application/oda oda
application/ogg ogg
application/pdf pdf
application/postscript ai eps ps
application/rdf+xml rdf
application/smil smi smil
application/srgs gram
application/srgs+xml grxml
application/vnd.mif mif
application/vnd.mozilla.xul+xml xul
application/vnd.ms-excel xls
application/vnd.ms-powerpoint ppt
application/vnd.rn-realmedia rm
application/vnd.wap.wbxml wbxml
application/vnd.wap.wmlc .wmlc wmlc
application/vnd.wap.wmlscriptc .wmlsc wmlsc
application/voicexml+xml vxml
application/x-bcpio bcpio
application/x-cdlink vcd
application/x-chess-pgn pgn
application/x-cpio cpio
application/x-csh csh
application/x-director dcr dir dxr
application/x-dvi dvi
application/x-futuresplash spl
application/x-gtar gtar
application/x-hdf hdf
application/x-httpd-php .php .php4 .php3 .phtml
application/x-httpd-php-source .phps
application/x-javascript js
application/x-koan skp skd skt skm
application/x-latex latex
application/x-netcdf nc cdf
application/x-pkcs7-crl .crl
application/x-sh sh
application/x-shar shar
application/x-shockwave-flash swf
application/x-stuffit sit
application/x-sv4cpio sv4cpio
application/x-sv4crc sv4crc
application/x-tar .tgz tar
application/x-tcl tcl
application/x-tex tex
application/x-texinfo texinfo texi
application/x-troff t tr roff
application/x-troff-man man
application/x-troff-me me
application/x-troff-ms ms
application/x-ustar ustar
application/x-wais-source src
application/x-x509-ca-cert .crt
application/xhtml+xml xhtml xht
application/xml xml xsl
application/xml-dtd dtd
application/xslt+xml xslt
application/zip zip
audio/basic au snd
audio/midi mid midi kar
audio/mpeg mpga mp2 mp3
audio/x-aiff aif aiff aifc
audio/x-mpegurl m3u
audio/x-pn-realaudio ram ra
audio/x-wav wav
chemical/x-pdb pdb
chemical/x-xyz xyz
image/bmp bmp
image/cgm cgm
image/gif gif
image/ief ief
image/jpeg jpeg jpg jpe
image/png png
image/svg+xml svg
image/tiff tiff tif
image/vnd.djvu djvu djv
image/vnd.wap.wbmp .wbmp wbmp
image/x-cmu-raster ras
image/x-icon ico
image/x-portable-anymap pnm
image/x-portable-bitmap pbm
image/x-portable-graymap pgm
image/x-portable-pixmap ppm
image/x-rgb rgb
image/x-xbitmap xbm
image/x-xpixmap xpm
image/x-xwindowdump xwd
model/iges igs iges
model/mesh msh mesh silo
model/vrml wrl vrml
text/calendar ics ifb
text/css css
text/html .shtml html htm
text/plain asc txt
text/richtext rtx
text/rtf rtf
text/sgml sgml sgm
text/tab-separated-values tsv
text/x-setext etx
video/mpeg mpeg mpg mpe
video/quicktime qt mov
video/vnd.mpegurl mxu m4u
video/x-msvideo avi
video/x-sgi-movie movie
x-conference/x-cooltalk ice
Alguns fui eu que adicionei, outros já estavam configurados no servidor.
Bem, entretanto já modifiquei um pouco o script, com getimagesize(), sempre dá um pouco mais de segurança no que diz respeito ao upload de imagens.