|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14161
- 金币
- 2371
- 威望
- 1647
- 贡献
- 1319
|
1、如何让asp脚本以system权限运行
1 J; A( A/ S# @# U5 A修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 3 H5 p6 M3 a C4 z
2、如何防止asp木马
, F" w' [# r1 @3 m4 B基于FileSystemObject组件的asp木马 - Y- [2 x8 W& A4 |$ O( D; S
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用, Z- o4 p, D6 U4 |2 ?1 P
regsvr32 scrrun.dll /u /s //删除
$ N5 a6 V/ f( Y4 ^基于shell.application组件的asp木马' {" c* c# A9 \" l
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
% L% H/ h' c& _regsvr32 shell32.dll /u /s //删除
, _& P# e$ e P6 m3、如何加密asp文件 9 O6 o3 y) g3 o T* E( z2 P
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ; j; |4 ?# l8 ^) G1 s
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。2 s5 h% J6 M5 P
运行screnc - l vbscript source.asp destination.asp
|& ^0 A% H" Y, F4 i1 @生成包含密文ASP脚本的新文件destination.asp. B' V I% ^) E
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
: [1 J1 f$ j! Y2 N但无法加密中文。
6 {4 ], G6 i4 z4、如何从IISLockdown中提取urlscan 6 ^/ o. s+ S$ H5 J/ E: b9 M& {
iislockd.exe /q /c /t:c:/urlscan
! h: B) s1 M3 U! H# k* e( t: |- o1 g5、如何防止Content-Location标头暴露了web服务器的内部IP地址 + r) u5 j( @* Y7 Q; Z9 Z% w
执行
2 M; _/ L+ i, |5 m7 A( O4 [6 Z& Lcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
9 N$ C: l4 M' n1 K/ s4 t最后需要重新启动iis
$ J6 f; A) ~; Y/ v3 g2 g6、如何解决HTTP500内部错误( V- q9 `, m' F) x8 l
iis http500内部错误大部分原因* h5 @ a9 M' _- V
主要是由于iwam账号的密码不同步造成的。
9 J8 f1 V4 W% x我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 d- G. a4 K. T! `/ F8 F- A
执行
8 J' l( y" q y0 t7 j" [cscript c:/inetpub/adminscripts/synciwam.vbs -v
# F/ Q6 Z& z2 Y2 v- f7、如何增强iis防御SYN Flood的能力
4 D" P% L0 C* xWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ; d. R* n( H5 x+ }+ M: a+ k/ f
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。# r0 j; Q0 G: Y( m# d. `' R
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( i2 o/ H. `8 n4 b; k' Q"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
3 H7 N5 }' l- N, a% C7 \" F设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 2 p! T: ?1 T, ~9 @5 o6 q5 q
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。0 R+ J# o+ O( q6 N& }
微软站点安全推荐为2。# Z/ |1 O# {. e) d; v- h) y& o
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ' U. R2 t8 w' t, V' D
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 : b: K7 }0 T# P
"TcpMaxDataRetransmissions"=dword:00000003
* l1 C0 Y" G# m7 e& _" x设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。% [( u; t" i- V
"TCPMaxPortsExhausted"=dword:00000005
* V4 C) I& F, v$ ~! e- [禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 % k) D6 n( V7 f; @: ~7 r( D
"DisableIPSourceRouting"=dword:0000002
! s+ {' w- Z- k. w限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。4 [' B8 N2 m. A9 i( i% y% ?
"TcpTimedWaitDelay"=dword:0000001e
( ~4 {; L# F' C, |+ \% y$ E# P7 S& j
8、如何避免*mdb文件被下载
: Y& i9 g. e! o! k安装ms发布的urlscan工具,可以从根本上解决这个问题。
9 o5 ^$ A5 A& O6 e- c5 m同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 % p1 t& E- s9 @, i6 F& A
9、如何让iis的最小ntfs权限运行 5 p$ D) W, ^7 T/ D. \# ?" _: Q
依次做下面的工作:
! F1 ?, T6 B3 ~) Va、选取整个硬盘:
7 e" \$ R6 W0 ~: B3 msystem:完全控制/ x" ~) u: s; [' n
administrator:完全控制, J0 E1 Y! R5 |( h/ Y1 i n
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 1 a) X" h& a; p% E$ u6 A+ {
everyone:读取及运行列出文件目录读取
/ x* j/ Q: ` ]2 z# i8 t(允许将来自父系的可继承性权限传播给对象)
8 h, W D( R2 b& F0 O8 B |c、/inetpub/wwwroot: , O/ Q. K/ U9 |" ^) L8 G
iusr_machine:读取及运行列出文件目录读取6 K8 c: K5 N9 C
(允许将来自父系的可继承性权限传播给对象)6 h; {+ ]( C" N
e、/winnt/system32:
2 R: L3 ~# y+ z选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 % Q7 Z% D P( c! G5 V, w8 d3 s
f、/winnt:
6 Z* B) W7 ]' k9 I. u" y* p选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% C& k' M) {- Wg、/winnt:
4 \$ _4 t! N' h0 u1 Y# [' J
. I g, a: t, |0 s+ d* D$ @everyone:读取及运行列出文件目录读取
' Q7 Z$ g4 p1 ?% R/ @(允许将来自父系的可继承性权限传播给对象)
0 _9 u) Q+ ?7 s5 oh、/winnt/temp:(允许访问数据库并显示在asp页面上)
0 L2 l2 X3 M' Meveryone:修改
" u( N( C' u6 k/ ?7 C(允许将来自父系的可继承性权限传播给对象); P$ Y9 [2 j* r! D8 u/ q
10、如何隐藏iis版本
! D' c: k/ F; c4 E% \, |5 f一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 3 ], X q6 [& }
iis存放IIS BANNER的所对应的dll文件如下:7 b$ E' G5 z6 V
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
' Y# U# g l) b( d0 { q ~0 BFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL4 ]9 Q. L6 _- w; ]$ z
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
; \- b1 A+ [/ Q0 S( I$ Z你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
1 J' C W* G' V" R# k( t具体过程如下:$ M. c) V6 ~2 `. M7 W$ U
1、停掉iis iisreset /stop # G( r1 M/ k/ r' Z! M
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件& u! i2 H" ?6 [; l6 S
3、修改 |
|
发表于 2008-1-25 02:15
| 