>В чём смысл копирования?
Ну шелл копируется уже в "распакованном" виде. Как я понимаю смысл в том чтобы скрыть вредоносный код, eval появляется в явном виде только в /tmp

>И как потом из веба добраться до /tmp, в которой лежит шелл?
>require($xH);