Lo suyo es ver la fecha de modificación de los ficheros, con esa informacion ir a los logs ftp y logs web y ver si la inyección es:

Por que tienen la clave de tu ftp y suben de nuevo el fichero "infectado"
O que a través de alguna vulnerabilidad de tu código o de tu servidor acceden al fichero y te lo modifican.

Suerte amigo.