Hmm, mag sein, aber warum dann die jars und warum werden sie in einem Ordner plugtmp gespeichert?

Das ist unerheblich - die meisten exploits die "irgendwas" ausführen, sind nicht schädlich - sie zielen auf irgend eine Sicherheitslücke ab, die in deinem Fall vielleicht garnicht relevant ist.

Man hat vermutlich nur simpel mit einem Bot den Code in deine Seite eingeschleust - dort wird er in deine HTML-Dokumente eingefügt und von vielen Clients ausgeführt.

Dem Angreifer ist scheissegal ob der Client diese Lücke hat, hatte oder garnie davon betroffen sein wird (z.B. falsches Betriebssystem). Wenn bei 200 Millionen aufrufen nur 100 dabei sind, bei denen die Software greift, hat er sein Botnetz um ein paar "Helfer" erweitert.

So einfach ist das.

Warum also was wohin gespeichert wird und du nicht verstehst, was das eigentlich soll, ist unerheblich - wichtig ist: sorge dafür, dass das nicht wieder passiert und stopfe entsprechende Sicherheitslücken in deiner Webanwendung.