Si el agresor ya tiene el nombre de usuario FTP y su respectiva clave, entonces por supuesto que seguirá ocurriendo.

Lo primero que debes hacer es cambiar la clave del usuario FTP (o de todos, si es que hay más usuarios FTP), poniendo una clave robusta, de al menos 8 caracteres, combinación de letras números y algún caracter extraño como:

$ # . / % *

Luego revisa si absolutamente todo el código de la página es tuyo, o si de pronto has incrustado código de terceros, como por ejemplo algún contador de visitas, de estadísticas, etc. Cuando ese recurso no es de una fuente confiable, por allí te pueden insertar código malicioso.

Luego revisa los permisos de tus archivos. Si se trata de un hosting bajo Linux, revisa que los archivos no tengan permisos de escritura ******. Con permisos 644 debería ser suficiente.

Saludos,