我在 fshex 看到很多这样的案例，无一例外都是用宝塔部署的，生产环境建议还是自己部署吧，慎用一些开源的一键部署软件。

宝塔建议把 BasicAuth 认证开了

哥斯拉后门

后台不对外的话，就用隧道或者登录加上 otp
宝塔严禁对外开放端口，使用隧道访问即可

如果你用的是宝塔，一般不会是服务器的漏洞。我感觉是你的网站程序有漏洞。被人 getshell 了。我根据你截图的 composer 截图，猜测你网站用的是 thinkphp 框架。
这种情况 第一：要先清马；第二：检查自己网站漏洞，然后修复。第三：如果你服务器上有别的站点，也有可能是从旁站跨站过来的。
如果单纯的清马，不找到漏洞原因，还会被人搞的。可以根据马的创建时间，或修改时间，查找那个时间段的日志，然后看看访问了哪些你网站的 url ，来检查对方是怎么搞到 shell 的。

PHP 养活了国内一大堆黑客。。。

这一眼就是 php 框架漏洞。

宝塔虽然烂，但也不至于这么脆，找 Linux 的问题更是找错了方向。

你们可能需要的是一个运维

fpm 以非 root 用户运行屏蔽 chmod 、chown 权限。web 目录除必要的目录外其他目录不允许写入。上传目录禁止运行 php 脚本。

要不你试试 1panel?

一键全站挂马 https://i.imgur.com/Ug1iMq4.png
网站可能存在上传漏洞。非必要目录只读，文件读写目录去掉执行权限