Aktuelles Drupal als Phishing-Site gehackt?

Ich bekam folgendes Mail von Google:

Zuerst dachte ich an ein Fake-Mail, aber es war echt.

Bemängelt wurde ein Link, der folgendes enthielt:

Also Drupal-Syntax ist das nicht. Ich fand als root diese Worte weder in einem MySQL-Dump, noch noch in den messages, wo jede nicht gefundene Seite angezeigt wird, noch im "Webseiten-Bereich".

Also gehe ich davon aus, dass der Host nicht gehackt wurde, lasse mich aber gerne eiens besseren belehren, wie ich suchen soll. Zugriff auf den Host ist per Login / PW nicht möglich, sondern nur über Keys. Nach 1 falschen Anmeldeversuch ist die IP gesperrt. Also, wenn da jemand reingekommen ist, nur per Cross-Site Scripting (XSS) o.ä. Ich finde aber keinerlei Spuren. Wie könnte ich nach dem o.a. Pfad noch suchen, als mit grep bzw. find?

Somit kann ich mir 2 Dinge vorstellen,

irgendwer hat sich eine Spaß gemacht und die Seite gemeldet. Zum einen fand ich nicht heraus wie das gehen soll und zum anderen sollte Google überprüfen, ob die Seite richtig antwortet. Ich hatte allerding Search404 aktiviert. Das ist nun weg.

Wenn von irgendeiner anderen Seite ein Link auf meine Seite gesetzt wird, der nicht existiert, dann frage ich mich, was das für einen Sinn hat. Irgendwer müsste dann ja zur echten Phishing-Seite umgeleitet werden.

Ich bin schon gespannt was ihr meint.