常见的网站挂马手段主要包括以下几种：

‌框架挂马‌：

通过在网页中嵌入0*0的iframe框架，让用户在视觉上无法察觉。当用户访问被挂马的页面时，会自动访问被转向的地址或下载木马病毒‌。

‌JS挂马‌：

利用JavaScript脚本语言，将恶意代码直接写在网页中或通过注入网页，让网站远程调取异地JS脚本。JS挂马插入Web页面的方法多样，难以辨别木马位置，且侵入网站代码较深，不容易被发现‌。

‌CSS挂马‌：

在CSS中加入iframe或恶意代码，利用网民对某些大网站的信任，将CSS恶意代码挂到博客或其他支持CSS的网页中。当网民访问该网页时，恶意代码会执行‌。

‌图片挂马‌：

图片本身可能是HTML文件，只是扩展名被更改，或者图片本身针对系统漏洞进行攻击。这种方式结合了前几种挂马手段的特点‌。

‌ActiveX挂马‌：

利用ActiveX控件的漏洞进行攻击，这种方式通常需要目标的浏览器开启ActiveX控件，并允许控件的运行‌。

‌利用漏洞挂马‌：

黑客通过各种手段，如SQL注入、网站敏感文件扫描、服务器漏洞、网站程序0day等，获得网站管理员账号，然后登录网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个webshell，进而修改网站页面的内容，向页面中加入恶意转向代码‌。

‌其他挂马方式‌：

还包括但不限于利用“肉鸡”牟利、JS变形加密、body挂马、隐蔽挂马、JAJA挂马、图片伪装、伪装调用以及swf挂马等手段‌。

这些挂马手段各具特点，网站管理员和相关部门应高度重视，采取有效的防范措施和应对措施来确保网站的安全。