добрый день. есть вопрос. у меня знакомый недавно пришел ко мне со словами что его взломали. я спросил - как. он говорит что после того как он загрузил какую то плюшку на javascript которая что то там делает с ui все и началось. мы откатили на хостинге все и все решилось. но вопрос остался . как javascipt может получить доступ к файловой системе и залить туда php шел. я видел шел своими глазами и судя по логам он там появился в тот день когда он эту штуку туда загрузил.
Никак не может, он может отправить кукисы админа куда-то, после чего уже на сайт заливают обычный шелл. JS шелл - это миф, JS выполняется в браузере клиента и не может получить доступа к фс и всему прочему, что находится на сервере или выполнить там какие-либо действия.