网站地址特定路径被劫持，如何排查

服务器环境：centos7.8，安装宝塔面板，仅安装了nginx、MySQL、PHP环境，如下图：
部署了几个网站，PC端访问正常，移动端访问http://xxx.com/tour.xml.php这个地址时会跳转到一个dubo网站，通过apipost测试，当user-agent包含移动端信息时，响应会是script脚本内容（正常返回应为字符串），具体见下图：


经过几次测试发现，如果包含.xml字符串就会响应script内容并转到dubo网站，如果名称为xxx.xmlxxx.php就会有问题，xxx.1xml.php 或 xxx.xm.php没有问题，跟这个文件内容和网站域名无关，以上测试就是新建了一个网站，只新建一个PHP文件内容为exit('123');进行测试的；
然后停止宝塔的nginx，手动安装了nginx，在手动安装的nginx下新建了有问题的名称文件，竟然没有问题；
排查了宝塔server相关文件以及nginx、PHP相关配置都没发现什么异常；
目前的方法是把有问题的文件改了个名字，其他用到此文件的也改成新文件名，暂时都正常了；
不过这终归是个隐患，要怎么排查到底是哪里的问题，请小伙伴们给个建议，不胜感激。

您好！自行无法解决的话建议找专业安全技术进行排查