Иногда на 1-2 сайтах выскакивает весьма непонятный, настораживающий глюк. В УРЛы страниц добавляется ссылка на какой-то левый сайт
development.html?&L=http%25253A%25252F%25252Fwww.f eliciano.de%25252FWebgalerie%25252Fbilder%25252FIt aly%25252Fune%25252Fyiwul%25252F
При этом все ссылки работают в нормальном режиме, а через 1-2 клика все возвращается в норму.

может быть вирус утянул пароли на FTP доступ, зашел на сайт и вставил какой-то код в index.php

Хотя в этом случае обычно идет редирект

Да мне тоже непонятен принцип действия - какой смысл появляться на пару секунд без каких либо переходов на другие сайты или страницы.

Тоже наблюдал такое на одном сайте на 3.8.1 с кучей старых ext.
К урлам дефолтной (только!) языковой версии добавляется спамерский мусор типа
./index.php?id=123&L=http%2525253A%2525252F%2525252Fsubsz.6te.net%252 5252Flist.txt
вместо языковой GET переменной.

Такие урлы кешируются, поетому очистка кеша решает проблему, но не надолго...

Вопрос в том как этот спам попадаєт в GET, и как это можно вылечить.
Вряд ли спам ботом "насилуется" какая нибудь форма типа indexed search или guestbook, поскольку они испольуют POST (фильтрированный).

Не пробовал изменить config.linkVars = L на что-нибудь другое, может и помогло бы. Или просто проверять переменную L на длину и int.

Такие урлы обычно применяют в XSS. Но в данном случае XSS используют для SEO. До недавнего врмени с помощью таких урлов можно было поднять ТИЦ очень высоко, так как для Яндекса это было равносильно естественной ссылки с вашего сайта. Правда уже данный баг прикрыли в Яше.

Но вопрос остался - где и в каком месте оно передается и кешируется?

Судя по моим наблюдениям, этот урл появлялся только при работе со статическими ссылками, причем сайт в УРЛе был один и тот же. (www. feliciano.de)