Hallo!

In meiner Verzweifelung versuche ich mittlerweile überall Rat zu finden, doch hält man sich meist bedeckt.

Anhand Deiner Beschreibung lässt sich da auch nicht wirklich viel sagen.

Wir haben in unserem kleinen Rechenzentrum einen Server (LAMP) stehen, der immer wieder von irgendwelchen Kids geknackt wird.

Woran merkst Du das? Welche Dienst laufen auf dem Server? Geben die Logs dieser Dienste keinerlei Hinweise? Vor allem wenn Du das zeitlich eingrenzen kannst! Hast Du den Server mal von außen gescannt, welche Ports alle offen sind? Ist das richtig so? Angreifer öffnen gerne eine remote-shell. Bedenke dass wenn der Server kompromittiert wurde, Du nichts und niemandem mehr vertrauen kannst. Weder Logs, noch top, noch ps noch netstat, noch ls... Es gibt viele Wege alle diese Programme zu überlisten. Das was Dir diese Programme zeigen muss nicht die Realität sein.
Was machst Du nachdem Du einen Einbruch bemerkt hast? Das System komplett neu aufgesetzt? Hast Du sämtliche Sicherheits-Updates der Programme in Deinem System eingespielt? Vor allem auch für solche Sachen wie Confixx, PHPmyAdmin, phpBB..., am besten möglichst wenig hiervon einsetzen.

Unsere Vermutungen, warum gerade der Server es ist gehen zunächst in die Richtung, weil dieser zum einen nicht im Safe-Mode läuft und zum anderen viele virtuelle Server beinhaltet.

Safe-Mode ist auch kein Allheilmittel. Was meinst Du mit "virtuellen Servern"? Virtual Hosts im Webserver, oder sowas wie UML...?

Bei einer Attacke werden im TMP-Verzeichnis mit den Benutzerrechten des Webserver-Users (www) Dateien abgelegt entpackt(!)

Das siehst Du also. Und zu der Zeit, wo das passiert gibt es keine verdächtigen Einträge im access_log des Webservers? Ein Versuch ist es in jedem Fall wert. Wenn das alles immer wieder passiert, könntest Du auch mal die Lofiles auf einen anderen Server schreiben lassen, damit der Angreifer diese nicht so einfach manipulieren kann (https://lists.balabit.hu/pipermail/syslog-ng/2001-February/001208.html).  Wenn ein Angreifer diese allerdings manipulieren kann, ist normalerweise wirklich ein großes Problem im System, mit ziemlicher Sicherheit fehlen Dir dann irgendwelche wichtigen Sicherheits-Updates.

und ein zweiter Webserver gestartet.

woraus schließt Du das?

Dieser dient dann wohl zum auskundschaften weiterer IP-Adressen.

Wozu braucht man da einen zusätzlichen Webserver?

Nun ist hier die Frage nicht, was man damit anrichten kann, sondern wie ich das verhindern kann.

Erstmal musst Du genau wissen was passiert. Du sagst zu Christian der "2." Webserver wäre unter Port 80. Wie genau unterscheidet sich denn das was Du beim 2. Webserver siehst, von Deinem eigentlichen Webserver? Ich meine jetzt nicht in Deiner Erinnerung, sondern tatsächlich, wenn Du z.B. das System neu aufsetzt, den Webserver startest, aber noch keine Online-Verbindung hast. Nicht dass das ganze auch ohne Online-Verbindung passiert :)

Grüße
Andreas