При загрузке одного из сайтов клиентов обнаружил подозрительный код. В строке состояния была заметна загрузка данных с подозрительного сайта www2.acint.net.

<!-- var _acic={dataProvider:10};(function(){var e=document.createElement("script");e.type="text/javascript";
e.async=true;e.src="//www2.acint.net/aci.js";var t=document.getElementsByTagName("script")[0];
t.parentNode.insertBefore(e,t)})() //-->

Проверил исходники, там никого. Значит не взлом. Залез в файл links.db а там он. Оказалось, что это счетчик Sape.ru. С помощью этого скрипта sape считает количество посетителей на той или иной странице. Убрать эту гадость не получится, потому что новый код SAPE автоматически её подгрузит.