|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行
' k1 z) [; R& `4 V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% T' M# _; J% u) C2、如何防止asp木马 7 ~$ V+ K3 z. b: d
基于FileSystemObject组件的asp木马
( l1 w- @& m$ R- J$ ^cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用: Y3 k2 A3 z1 s1 m, a5 c
regsvr32 scrrun.dll /u /s //删除9 J! W9 G( N3 x* L. B+ r% w! f% X( X
基于shell.application组件的asp木马' n8 ]8 x" w* F+ ?+ m2 H% ^
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
, ^; n: h, L7 i; Lregsvr32 shell32.dll /u /s //删除
) u/ T) R; ~$ P! ~ C3、如何加密asp文件 " L1 T, r0 v) E* |6 m
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
6 u" e$ b. p3 \$ e安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。. \/ K1 y# a( N2 X
运行screnc - l vbscript source.asp destination.asp2 K9 e& d6 [# Y3 Z- ^
生成包含密文ASP脚本的新文件destination.asp
1 U# F# ]# U" o: v) s$ t用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了0 E. ^5 |5 m: s
但无法加密中文。
! }5 h# v& t3 k4 N% o4、如何从IISLockdown中提取urlscan 8 R2 P" x% W( R8 H: D5 M
iislockd.exe /q /c /t:c:/urlscan- c. F: Y3 E) S" D. W' d3 Z
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
; k2 h2 {' y# e' K执行
* F6 K* c% `6 z4 Y. }cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
% ?8 q+ Z, V' z最后需要重新启动iis
6 J4 P: n4 n ?* s$ X. A+ J6、如何解决HTTP500内部错误 n/ j1 g0 K% y, Y. o6 K
iis http500内部错误大部分原因
' [) {% W e) [- W& i5 W主要是由于iwam账号的密码不同步造成的。
) @, w7 M% M& G* O! U! `我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。6 t& r& W# H8 G% ~- x
执行
% r3 Y% `3 z. j `4 Q* S2 vcscript c:/inetpub/adminscripts/synciwam.vbs -v
7 v+ r. z3 ^0 s9 [3 C- t2 Q1 H7、如何增强iis防御SYN Flood的能力
' C- H* q3 x! R0 TWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
+ Q; j( z8 ~; v- W f+ s启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。( E% e$ D8 w) E# I: i$ h' U6 |/ l
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
/ P% G& V. {* W `9 E"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050" S& K4 w0 q) o |$ [. M5 B: `: v
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( d( O! H$ F. H7 p D项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。3 T1 B! p& d. R- B& t5 N4 h
微软站点安全推荐为2。7 B p( M" |7 ]) m8 `; V
"TcpMaxConnectResponseRetransmissions"=dword:00000001
8 V7 a7 m$ l6 x5 V; i设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
" t' ~' X1 j! E( \# `"TcpMaxDataRetransmissions"=dword:000000031 f5 P- u% e( s% Y O
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。8 L4 ]: K9 B% l* P1 j
"TCPMaxPortsExhausted"=dword:00000005
1 J% h. n- C) g9 X禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 9 i7 L, _; u, T$ P
"DisableIPSourceRouting"=dword:0000002
# m j/ ~9 Q! z1 o+ J2 r限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
4 l J' T3 K* ~: E: A"TcpTimedWaitDelay"=dword:0000001e
+ C* ]) d; v H2 n- q, S( o* Q# \4 x) g. @. D. a; O
8、如何避免*mdb文件被下载' m$ b7 [$ s2 t: W9 h6 M7 K
安装ms发布的urlscan工具,可以从根本上解决这个问题。
) l; _3 @5 {& A7 i. J v2 ~同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) |* S, b |! v2 X5 V9 u9、如何让iis的最小ntfs权限运行 0 }/ D+ Z) t* J9 M, ]2 M
依次做下面的工作: 5 t1 J7 ]) u% S B/ y
a、选取整个硬盘:
`4 i. ?! x, wsystem:完全控制 ^$ o2 W, e- {4 G8 Q$ r
administrator:完全控制5 C" n$ Q7 M" D5 F# x, B& y
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
" I# Z% {6 o6 O6 Y( B# a) Feveryone:读取及运行列出文件目录读取
{+ ]1 m M& i, i2 A, t3 S(允许将来自父系的可继承性权限传播给对象) # D0 K q2 u1 E8 W" ?( V3 _ q z! D
c、/inetpub/wwwroot:
6 y! u `1 c# k' |: giusr_machine:读取及运行列出文件目录读取: _, b! E. K8 q+ l" ]2 r$ _1 e
(允许将来自父系的可继承性权限传播给对象)
/ J" @# @% ~9 C ^9 qe、/winnt/system32:
5 ]* f5 V+ v5 F+ l9 k1 T选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 N6 G/ x$ M# ?1 cf、/winnt:
8 r% v- S" b5 z5 ~0 {$ Y: f, s选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。' V b2 w' Z' h/ C ?
g、/winnt:
+ o* t! v5 K) p4 M+ N) [! X ) C) I% a" e1 G. V. f" F7 h
everyone:读取及运行列出文件目录读取
z* l; }4 z& ~, g(允许将来自父系的可继承性权限传播给对象) 3 }+ {' e- u6 g+ m5 A! ~/ [" {1 d
h、/winnt/temp:(允许访问数据库并显示在asp页面上) - B9 F/ T5 T% x7 R Q
everyone:修改 4 D( X; X0 g3 ^; O
(允许将来自父系的可继承性权限传播给对象)' o* U6 o9 _2 S2 b. t. F
10、如何隐藏iis版本
. |1 t4 w+ |1 y- ~5 b& _7 H f一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 , |1 B: E# o. M- z1 u
iis存放IIS BANNER的所对应的dll文件如下:
4 J$ |. v. d: F* I9 hWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 4 B3 ~4 F, G( g# ^
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
. x2 ?* D8 a) Q9 _0 v2 RSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
, ~: Z7 L* `. q8 A. k5 E0 b你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
7 G9 V j& }9 T9 {- n5 w. o' U8 N( c具体过程如下:
; L7 P/ T& C4 U% y: f1、停掉iis iisreset /stop 0 V4 A+ T. \; r/ W! X |5 y6 d
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
/ [9 p& Y s" x5 F3、修改 |
|
发表于 2008-1-25 02:15
| 