|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行9 D8 i$ T3 g$ |7 U! J4 [4 X: R6 }
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
( D% a+ r9 l4 D& F- Q2、如何防止asp木马 % Y5 M ]4 S5 G! z+ i
基于FileSystemObject组件的asp木马
/ g: i; ~# X" ]cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用9 y. h# W/ C; B5 \9 `" R- K
regsvr32 scrrun.dll /u /s //删除
5 E4 n+ @& d2 r% v0 ^. `+ m0 p基于shell.application组件的asp木马1 R" t5 J. e& d9 n: M3 X/ m3 A' h
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
" r% x$ C+ u/ H6 k* ?- J$ Gregsvr32 shell32.dll /u /s //删除
: f0 r9 t3 U. T' A( l: L; C' z# O$ `3、如何加密asp文件
' D2 S5 f2 ^; [" x8 M7 f. E从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
- m( t7 \1 u- }! x7 Y安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。. E T! m+ ]/ g; D+ V; z
运行screnc - l vbscript source.asp destination.asp
1 g7 C- L; `% }% j& [生成包含密文ASP脚本的新文件destination.asp
% T3 G3 J' ?3 V9 `4 @- n/ [用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
3 ~+ |+ y. {0 q f3 w/ i$ L但无法加密中文。
8 _, A' W2 t) t+ @; G8 A4 y/ g4、如何从IISLockdown中提取urlscan
* d: p- l* V, Q. hiislockd.exe /q /c /t:c:/urlscan
/ p3 A( D& E5 m3 c5 L5、如何防止Content-Location标头暴露了web服务器的内部IP地址 1 E3 U0 p# S5 x" g
执行 1 O' k1 u5 E, P' V1 H0 j, h
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
0 H' p8 M& z+ w8 H最后需要重新启动iis 8 E/ Q1 Q" {. h; i
6、如何解决HTTP500内部错误* S- x& J" ^; B/ _
iis http500内部错误大部分原因
% J2 T7 `9 U: }7 y+ x2 |& q% p主要是由于iwam账号的密码不同步造成的。
# A$ @, d. ?+ z- }, x4 D+ e我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
* `. z3 K" X' B4 g/ W执行
0 C5 R k, J0 f: K3 S- Icscript c:/inetpub/adminscripts/synciwam.vbs -v
6 y3 E4 g& z& T7、如何增强iis防御SYN Flood的能力' L% @! O) m* m5 d" r
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 3 E. }& n( h' w* q% ]: o% R
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
6 j" `# g8 q2 w% m"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
0 r* o5 v/ i. V" t"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
8 h; B2 F/ `; w( [设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ; I. L6 L4 i7 j+ {& x5 o9 f
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
0 g. y0 y4 W$ u. X, h8 ]) U2 `( S2 Q微软站点安全推荐为2。
1 {9 X# Y6 a) F- y: i7 J"TcpMaxConnectResponseRetransmissions"=dword:00000001
6 F. @/ }. p. M; s$ F/ K设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
3 T D. e4 R- z. x; e7 K6 l"TcpMaxDataRetransmissions"=dword:00000003
B- Y2 y1 U' q设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
, m" u+ W! n7 L: l"TCPMaxPortsExhausted"=dword:00000005 1 m' T Y) ^$ [( T' K
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
# _0 m G& j; u; T8 p"DisableIPSourceRouting"=dword:0000002 K' G9 i1 s0 L" T* |' ^
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 s; m- c) B+ z" n1 m+ O
"TcpTimedWaitDelay"=dword:0000001e2 G( X7 }2 g& r% t& M
9 n8 e" o( X' N) y
8、如何避免*mdb文件被下载. J6 _! D( n2 @- J; g# f9 [
安装ms发布的urlscan工具,可以从根本上解决这个问题。" C5 Q3 u' C8 j0 T- f/ n
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
- U5 D' l& o3 P1 R9、如何让iis的最小ntfs权限运行 7 M1 B$ j& M/ m8 t; q
依次做下面的工作:
0 u! @- o, v L; Q0 Ta、选取整个硬盘:
) E1 {6 C8 V5 m/ U7 U; b) {8 u; Isystem:完全控制
: z2 N! M, i; ~) g) V7 B: i0 Iadministrator:完全控制, D, X9 F9 |3 g/ B* T4 m
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
& J! Y+ b9 n; i ~- a' j9 Keveryone:读取及运行列出文件目录读取
8 V2 b1 w0 |/ B: t. ?2 v. f% f(允许将来自父系的可继承性权限传播给对象)
, S* x k& B- yc、/inetpub/wwwroot:
. `% N- r/ T- B5 y( M2 f4 miusr_machine:读取及运行列出文件目录读取
! e6 X; X2 U; o) @& B(允许将来自父系的可继承性权限传播给对象)
& V. @" m9 u- O1 s0 z5 ?# ie、/winnt/system32:/ X* o0 K. F3 J$ s
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 9 B0 Z G) ?, S
f、/winnt:
4 \. I1 \( m+ ], ^选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
) e; k2 Z, f# K' t; y7 Lg、/winnt:
, M# J8 n# I1 x6 Y( u) i# a) @ # O: }- B; _+ B/ F0 L4 F3 `7 w! v
everyone:读取及运行列出文件目录读取, Z$ J& x& |3 t( D9 A1 i6 ^# o
(允许将来自父系的可继承性权限传播给对象) 0 u* U% H. |. J, j& k
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
5 t* c \* D9 Meveryone:修改
& u4 k; b; ?+ k: v7 @- g! ~) ?(允许将来自父系的可继承性权限传播给对象)
; H. n! Y1 N+ p10、如何隐藏iis版本
# i$ K" x8 q* m% f8 b7 x1 W2 ?一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ' w0 t' j; B- i0 E
iis存放IIS BANNER的所对应的dll文件如下:; M4 e i3 r( ?* G( G6 L( r
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL % p0 S8 m7 M( r
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL& |' M) W2 S6 ^. f' z' X$ m" X4 s
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
& O4 a8 i2 P4 O你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# B9 h" P6 h' C$ P具体过程如下:( b6 n1 C3 B; q, R
1、停掉iis iisreset /stop , I" r B* W6 z: Q# N8 R- E
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
$ c# h- G2 Z/ @- r+ Y0 g3、修改 |
|
发表于 2008-1-25 02:15
| 