网站遭劫持了，被注入恶意代码，请教各位大佬如何清除并再次预防？

前两天用户反馈移动端网页访问不正常，一查看发现，特定的路由会触发跳转到黄色广告地址。 如： 网址：https://www.网址.com/edu 在 pc 端正常访问，但在移动端就会被跳转到其他网站上。 如修改路由为/edu123也会跳转，修改为/ed则不会。初步判断关键字为edu。

进行排查：

1. dns污染
   网站都是使用了https，排除
2. nginx
   通过查看日志以及转发记录，发现/edu 被转发到了 php-cgi ，排除
   
3. php
   在排查时在看见 v2 中有人遇到类似的问题，于是照着大佬的思路排查，结果发现每个站都被添加了一个 pass.php 文件。 根据代码内容搜索，是用Godzilla生成的木马脚本。对网络安全这个块不太懂，有没有大佬知道怎么切底清除这个脚本带来的影响？

初步处理尝试：

清除每个站点下的 pass.php 文件，以及相同时间被创建的一些文件。检查 php.ini 文件以及 so 文件是否被修改。没有发现可疑配置后，重启 php 服务再次访问。 结果还是一样会跳转到其他网站。。。

继续排查：

查看 php 慢日志时，发现请求网页时有执行file_get_contents函数，于是循着文件路径查看，找到了罪魁祸首，项目composer下的autoload_real.php被植入了一行代码，删除掉后网址恢复正常。

疑问请求：

请问这是利用了 composer 的漏洞吗？ composer 的版本是 2.3.7? 然后被植入 pass.php 的文件是不是宝塔的漏洞导致被上传的？因为我看到这些文件都是 www 宝塔用户上传的。