|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行% w/ b+ b; B2 y2 z: b3 J% m$ l, s
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! r! f- I9 C& C! S! c( M2、如何防止asp木马 4 m. }) Z, ]. i! R# F* f
基于FileSystemObject组件的asp木马
$ R9 ^* B% L$ f7 Dcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
) R0 o. c) i9 i/ r& s% p3 s# pregsvr32 scrrun.dll /u /s //删除
, T: [* x3 R- K! q! [8 G基于shell.application组件的asp木马" @1 s( G. Z6 H8 I- h* ^
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
. H n7 `/ T5 Dregsvr32 shell32.dll /u /s //删除 + x* d: A/ ?5 ]3 x6 g3 l
3、如何加密asp文件
( S+ |7 g/ C/ G9 E7 v% Z从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 6 J4 [; E( w% V# m' R5 g) y
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。9 L7 b7 R5 w; U5 B I) k
运行screnc - l vbscript source.asp destination.asp/ H* w* h5 p9 U$ r& S/ d) }( s
生成包含密文ASP脚本的新文件destination.asp8 l6 Y6 y0 b+ Y$ e) ?
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
0 x8 o) S! ~3 d0 _但无法加密中文。
1 Z. Z, Z9 r5 D3 ^4、如何从IISLockdown中提取urlscan D$ g& j0 p' ?! j* i
iislockd.exe /q /c /t:c:/urlscan& i+ m9 ~. n, H" r% ^& y) \
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
# z, {% }# x- n8 L执行
3 |) W R4 a- R" f8 g4 P1 [, Tcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
$ Y0 i$ l0 V( s; J最后需要重新启动iis
! }" z3 ^$ j1 C* W4 M9 q6、如何解决HTTP500内部错误( i3 V' E0 _. u9 L3 c
iis http500内部错误大部分原因
3 `+ q, D" ~% G/ c& O主要是由于iwam账号的密码不同步造成的。
" e! Y t8 g$ G% N* T$ X我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
$ Q' e* D+ j9 i6 K* H0 h8 ~执行 . W% A2 H4 i5 i% d- y
cscript c:/inetpub/adminscripts/synciwam.vbs -v. G8 v9 v) w, y: k
7、如何增强iis防御SYN Flood的能力
, x# _$ r8 a' n: }. U- zWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
3 C P& ^* R/ G/ h) p1 y启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。7 L$ `- |2 G+ v) p" \
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
. J6 n4 G( R+ P: z0 A) D"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
+ p1 K6 P: F3 K$ Q c( d设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 0 @! f: q+ | O
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。3 _4 W) q# s: n) o
微软站点安全推荐为2。
V& a1 ^: d7 U: V! @/ V0 v+ ^+ Q+ \"TcpMaxConnectResponseRetransmissions"=dword:00000001
2 y" K! D" B: F" d' c" m6 X设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
1 M4 H7 x/ h" C! b! o+ A8 ^# v"TcpMaxDataRetransmissions"=dword:000000034 D& O+ V6 O% M+ K; c
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。7 r8 C! N& u0 g4 K
"TCPMaxPortsExhausted"=dword:00000005 $ D7 M9 ^! [- [1 z k) @
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
+ }% n7 b* F+ H8 Z6 B* L1 a& P5 A"DisableIPSourceRouting"=dword:00000027 {! T" Y. m' a5 e
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。5 N; A8 K6 d" f4 u
"TcpTimedWaitDelay"=dword:0000001e6 r" ^, _: A7 {5 s9 Y6 h" d5 M. k
5 e! e9 N" r- K
8、如何避免*mdb文件被下载, @% V4 K! W3 H, c: o
安装ms发布的urlscan工具,可以从根本上解决这个问题。
9 ]* r, D( _& {) w同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 b+ ?1 `6 o# P* n
9、如何让iis的最小ntfs权限运行
O7 U: e$ u4 t1 ~8 @依次做下面的工作:
7 D; p2 m9 D4 h- Wa、选取整个硬盘: 7 A% A7 q3 S8 ?9 {2 x
system:完全控制
5 D' v, B( I/ B. Z# V# ^administrator:完全控制' [( k5 k4 V* Z. S' L) f' q
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
/ H! i( J+ ` u' w5 H# j) |everyone:读取及运行列出文件目录读取 8 Z+ C, F5 _3 A, A1 W" N
(允许将来自父系的可继承性权限传播给对象) + w- j* @& c9 L9 ?5 u; ?6 i
c、/inetpub/wwwroot:
7 z7 |' j. P* p1 viusr_machine:读取及运行列出文件目录读取
! Z" I4 p' U1 Z4 e* i8 v" c* w(允许将来自父系的可继承性权限传播给对象)* x1 L0 k6 T- b
e、/winnt/system32:
& n( x: V5 S4 B" ^' d" h @选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 8 b1 {, D# C0 ]3 D
f、/winnt:
6 F$ C% f/ d J& F! Z ], @( d U) h( I选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。( H3 Y& ^9 H% X, C
g、/winnt:. v, e3 Y7 x2 s; O; J% F
! k! H4 K. z$ x: r! l
everyone:读取及运行列出文件目录读取
: j8 T7 H. [$ G(允许将来自父系的可继承性权限传播给对象)
$ r4 e" X3 j7 B' `h、/winnt/temp:(允许访问数据库并显示在asp页面上)
9 f# @+ |: A$ X; c' h9 N" d1 reveryone:修改
, o6 D: y- F+ E6 m6 c(允许将来自父系的可继承性权限传播给对象)
3 F" o3 p3 _0 c1 b10、如何隐藏iis版本 + t* H4 W# k; W7 e! _$ T; @
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 # n- @* ^9 b% k- A1 A
iis存放IIS BANNER的所对应的dll文件如下:. ]7 o9 ~+ O" V7 U# W
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
$ A/ C3 C8 c* E& j1 ^ XFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
) ]% b" Q. b5 h0 y, i( aSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL , T A, g C" v! d5 M( q
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 2 I$ C% ~% J9 a2 S1 o
具体过程如下:
2 c) a+ U- G9 _; O% k1、停掉iis iisreset /stop
- m3 ?! ~2 `! r& i. m. r2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
$ I1 h7 I d( w3、修改 |
|
发表于 2008-1-25 02:15
| 