|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14191
- 金币
- 2386
- 威望
- 1647
- 贡献
- 1334
|
1、如何让asp脚本以system权限运行- K' u* p7 R* z! W" I5 U6 ]% F
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
* o. p6 j& R' ~$ [( D/ f2、如何防止asp木马
* x5 S- q! N8 d基于FileSystemObject组件的asp木马 # l. I1 J k* {+ ^
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用: W! ~) G6 S* L) M+ O- K6 k1 f
regsvr32 scrrun.dll /u /s //删除
3 h7 `& ?7 g7 |# b8 E, ?) C基于shell.application组件的asp木马
" [8 L8 I8 H, `; }3 Vcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
! G6 m6 d" `" O: Z5 }" Q7 zregsvr32 shell32.dll /u /s //删除
$ ~* r) d: [% n! q3、如何加密asp文件
9 l( i; `1 f5 r# U从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
4 e; L3 A S( S安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。/ E( ~# N l/ G4 U( i
运行screnc - l vbscript source.asp destination.asp3 A( r5 u' N+ Y% j* I8 Y3 o
生成包含密文ASP脚本的新文件destination.asp
/ x: c4 X- T5 f" x用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
: h% v c; h/ H# M但无法加密中文。
7 P. C2 O/ r I6 x4、如何从IISLockdown中提取urlscan & R% `/ V9 c1 N: M( D! @7 c6 b
iislockd.exe /q /c /t:c:/urlscan
6 ^. k4 E" E: U. C, ?. t! F/ Q5、如何防止Content-Location标头暴露了web服务器的内部IP地址
; e7 K* D- q1 _+ n( |7 K; y执行 ( S5 i5 D! H1 d# V4 g2 F
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True : g, e b+ `; s$ ^
最后需要重新启动iis 1 |# r. s: H0 v# y4 [" ]
6、如何解决HTTP500内部错误
h3 q& n w* L. d! v, o$ Kiis http500内部错误大部分原因) [. Z8 \7 t3 l. b
主要是由于iwam账号的密码不同步造成的。0 \ `# O! ` o
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
& ^& i" P+ p3 C) q$ O执行 ! e( x5 |5 a& F( ~5 D
cscript c:/inetpub/adminscripts/synciwam.vbs -v
0 F+ l, P. ]$ _/ U7、如何增强iis防御SYN Flood的能力
6 F9 K C, R4 J2 xWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
$ D6 T7 x* }& \0 {0 Z+ _启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
$ \8 ^& `1 I! |# {" | i+ F"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
: T7 I% m% n& P"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000505 r2 ^4 R6 q, b9 V/ P
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 . {9 I' l" ]0 Q2 n# p+ U5 t* V
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
8 r" k; ?8 Y" Y3 V$ U微软站点安全推荐为2。
3 y& h" x4 Q' {. S( H8 s( m"TcpMaxConnectResponseRetransmissions"=dword:00000001
9 u. ~* p* C0 w% n4 Z [3 O设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
( E0 B" a6 b( s2 G* _- y* n& X"TcpMaxDataRetransmissions"=dword:00000003
. |( `% _( X% M设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
+ k: C( B& d0 \: U2 t/ J- Q, p1 o"TCPMaxPortsExhausted"=dword:00000005 5 {/ e% y" N, y: U4 s! [
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
# Q. r/ |3 K5 k+ q! l7 P4 Q"DisableIPSourceRouting"=dword:0000002
b e2 \4 J; J$ g7 K6 V' F- d限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
& Y! \0 b# ^: Z+ {"TcpTimedWaitDelay"=dword:0000001e
) S2 W Y5 J. N M* n7 ^, j0 m) t7 t$ y- D. }3 E. p
8、如何避免*mdb文件被下载0 Q% A! ~& H# S+ f
安装ms发布的urlscan工具,可以从根本上解决这个问题。
% i% X/ R+ B( [" p9 ^! R1 E( ^同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ; a$ Z2 a: N5 p8 J
9、如何让iis的最小ntfs权限运行
! U" U3 _8 |0 L依次做下面的工作:
2 R9 |6 ^6 Q& ^# C) p/ Q2 aa、选取整个硬盘: ; ^4 r- f8 D2 M; F
system:完全控制4 U+ e( M3 n! F! V1 a
administrator:完全控制
$ k* Y; v" c0 W* h; g+ e7 k(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 3 B% I2 i' k) V, T
everyone:读取及运行列出文件目录读取
& }' \3 d/ J0 @ }0 K; O; }6 t* v(允许将来自父系的可继承性权限传播给对象)
. a9 G8 N s5 ]& e8 Yc、/inetpub/wwwroot: $ C' d% ^$ S, h: n" X* e3 c
iusr_machine:读取及运行列出文件目录读取
, R: }5 l! `! c7 s/ p(允许将来自父系的可继承性权限传播给对象)1 r3 ?$ C2 z# j- Z3 X
e、/winnt/system32:, b9 c: \. @9 z$ \* {( f4 C; p% L. r
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. r1 I/ g7 a3 }% Q" ~8 Ff、/winnt: ; G4 h" }( H* x
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。' h+ U# H0 Q& f8 u
g、/winnt:
% \/ z, o- ~# s3 V2 v' e 2 s$ d$ U' j% i6 |' ?5 X
everyone:读取及运行列出文件目录读取
! R+ i: k8 I- X; d1 @- @; [& E4 ^(允许将来自父系的可继承性权限传播给对象)
( z/ b: q$ x' c) f, z) }h、/winnt/temp:(允许访问数据库并显示在asp页面上) 2 _0 w1 ?4 ^' V
everyone:修改 % [- @# P' A8 B3 i
(允许将来自父系的可继承性权限传播给对象)
- m( ^7 s7 r& V* ^10、如何隐藏iis版本 % K/ P3 E9 ~/ r o e
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ' L% F, ^& J! s& f$ ?7 m1 v
iis存放IIS BANNER的所对应的dll文件如下:9 f! v6 q# R8 [! }1 |, e
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 3 ?# d Q& u, Z6 x0 o
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL. M, c- t8 C& L2 t4 m& V
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
3 E+ T9 d6 P+ k$ f! H; `/ t你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 1 I6 t! G. K! k) _8 u/ X
具体过程如下:
8 f$ \) L7 }/ ~4 n8 Y5 I- m& I; j- x1、停掉iis iisreset /stop
6 n) g- X4 ^, y: V5 e2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
8 Y2 m" R1 J. I* n3、修改 |
|
发表于 2008-1-25 02:15
| 