Сообщение от
pegs
Не совсем понятно, как кодом в картинках могут воспользоваться? Сервер отдаёт их как есть, без запуска интерпретатора.
Может дополнительно в .htaccess прописали, что .svg это теперь PHP-скрипт, или может svg участвует плотно в каком-то скрипте.
Так-то, обычно, да, если шелл залит, то его могут использовать снова и снова, надо проверить весь сайт, найти дыру и залатать.