Insertion de fichiers, faille SPIP ?

Bonjour,

Nous avons un site sous SPIP et depuis ce matin nous avons des fichiers qui sont insérés sur notre serveur dans le dossier media. Ces fichiers html contiennent un meta refresh vers 2 autres sites qui contiennent 2 fichiers html différents -> une page de fishing Apple et une autre GDF/EDF.
Notre site est donc sous SPIP mais les 2 sites avec les pages de fishing sont également sous SPIP http://www.womenews.net et http://infosanteprevention.net d’où mon interrogation sur une possible faille SPIP ou un plugin...
A la base, en plus des fichiers html, nous avons eu un fichier php qui contenait une connexion shell (ce code https://code.google.com/p/b374k-shell/), j’ai donc supprimé ces fichiers, j’ai fait une MAJ de notre SPIP de 3.0.9 à 3.0.16 mais les fichiers reviennent quand même après suppression.
Je pense que le shell a permit d’injecter un code dans un de nos fichiers pour uploader les 2 fichiers html... je vais lancer une comparaison des fichiers actuels avec une ancienne sauvegarde pour voir si il y a des différences. C’est une solution que j’ai en tant que non-spécialiste de ce type d’attaque :)
Maintenant à savoir d’où peut venir la faille, bonne question... si il y a des gens plus expérimentés sur le sujet je veux bien quelques billes pour avancer. ;)