Si no hay permisos excesivos, ya tienes una contraseña fuerte. Restan un par de cosas:

1.- Que tu proveedor investigue y vea de qué forma se modifica el archivo, si por ftp, por apache, etc.

2.- Limpia tu PC de spyware/malware, muchas veces tienes algún bicho en tu máquina que loguea todo lo que escribes, como passwords (incluso los nuevos, que cambias) de ftp y demás, que pueden llevar a futuros hackeos.

3.- Analiza la programación de tu web, quizás tienes algún bug en el código que permite la inyección de cadenas de código.

4.- Si es un script comercial, asegúrate de tenerlo al día, actualizado al 100%, al igual que sus módulos.

Saludos,