Думаю, если запретить запись в header.php непривилегированным (да и в целом, разберитесь с правами) пользователям типа nobody, и www, то проблема отпадет.
Поищите backdoor, в скриптах
эта статья поможет, смените все пароли(ftp, админские итп) и следите за пациентом.