如果你用的是宝塔，一般不会是服务器的漏洞。我感觉是你的网站程序有漏洞。被人 getshell 了。我根据你截图的 composer 截图，猜测你网站用的是 thinkphp 框架。
这种情况 第一：要先清马；第二：检查自己网站漏洞，然后修复。第三：如果你服务器上有别的站点，也有可能是从旁站跨站过来的。
如果单纯的清马，不找到漏洞原因，还会被人搞的。可以根据马的创建时间，或修改时间，查找那个时间段的日志，然后看看访问了哪些你网站的 url ，来检查对方是怎么搞到 shell 的。