|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14191
- 金币
- 2386
- 威望
- 1647
- 贡献
- 1334
|
1、如何让asp脚本以system权限运行8 S# V1 v# a- @7 n8 U6 Q
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 S3 g q% g: ^# l- d( r2、如何防止asp木马
) z$ y6 I# h6 m Q% f) h m& K基于FileSystemObject组件的asp木马
2 }, Z/ T8 w1 Y0 W$ Scacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用; `' a/ d( c$ O4 Y
regsvr32 scrrun.dll /u /s //删除
. Y3 G) N" H8 k0 y8 O基于shell.application组件的asp木马
; ]$ ]5 h# n; q# Z2 \7 Dcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 9 l' y# r* l, v9 r$ a) `
regsvr32 shell32.dll /u /s //删除 ) E6 [9 Y5 D$ n
3、如何加密asp文件 % ?& T3 i3 T2 n _! [- G+ Y
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ {+ A; n, n# a- h安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
' O5 G8 f% \9 F3 u% d A运行screnc - l vbscript source.asp destination.asp8 N$ ?* H) b- R' U. K! q
生成包含密文ASP脚本的新文件destination.asp% O" b4 A8 y* @- q
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
% {* [3 M+ K: Q& u/ T* G' ]但无法加密中文。
# k- Q$ `" { _6 a9 ]8 j% ?: a; \8 J4、如何从IISLockdown中提取urlscan
+ T! t( N+ _. diislockd.exe /q /c /t:c:/urlscan* v: A( ?9 q. o2 V1 C6 u
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 6 O0 r; J8 E" |
执行 2 _/ m; S1 Q. K0 i1 ]/ s
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True * O) ?- [: Z' b. x4 q3 V
最后需要重新启动iis & r6 y, Z! I3 B/ Z* y: [3 O0 e
6、如何解决HTTP500内部错误
! J" l- W( v, \2 S. m1 s9 Diis http500内部错误大部分原因6 b" Y/ K, F8 N' |" P( f
主要是由于iwam账号的密码不同步造成的。$ ? |4 Q; u3 W" x! ?; b+ u' X: [
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。% N6 P+ C- `# n
执行 ' `1 ?) m2 \6 {, Q# Y9 M
cscript c:/inetpub/adminscripts/synciwam.vbs -v
+ D" M7 v) [& b7、如何增强iis防御SYN Flood的能力9 w- p& D" k$ X2 _7 ?
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
& V8 C5 Z* X; A9 P4 a4 i启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。' s+ o) l( A2 B) L3 f
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
% m& y% [; [9 J4 [; c. X$ n. N"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
+ P5 z2 c5 _2 G: }设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 / m j, T0 j- s9 u5 ~2 x3 h3 ]
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! n3 Y9 i: ?- H1 ]微软站点安全推荐为2。% u8 Y1 T% \! D/ `. L
"TcpMaxConnectResponseRetransmissions"=dword:00000001 : x) K6 O# h, j% p A
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 $ w0 k0 L2 w, a1 W
"TcpMaxDataRetransmissions"=dword:00000003. R: e/ W1 U* q, _. L- O2 Y3 b
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
: ] b$ X, C* O; d& J+ v"TCPMaxPortsExhausted"=dword:00000005 : s5 k7 y9 ~# [( S% q
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
) ~% D" P3 ~$ Z3 M3 o, w"DisableIPSourceRouting"=dword:00000029 m- e; Q! r* @1 s/ v
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
1 y* a! ]% J# h. G3 H7 Y"TcpTimedWaitDelay"=dword:0000001e
' K1 J7 s; a! ], b, ?% t1 C5 j& B" V8 e
8、如何避免*mdb文件被下载
?2 x6 L, j* v安装ms发布的urlscan工具,可以从根本上解决这个问题。* o4 G5 W2 P8 v* R
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 - Q. d& X6 Y1 Z: h! Q
9、如何让iis的最小ntfs权限运行
Y" S K3 \& ~ x; t+ y依次做下面的工作:
# q- n: X! @0 D( I) {& }& d8 Ha、选取整个硬盘:
" A: \- I8 t7 ^. Y* v/ _system:完全控制
+ }) ]( K9 C/ w! @5 Cadministrator:完全控制! [3 @8 z9 Q8 W. K$ q+ E$ \
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
$ s7 O+ n# t8 z' }everyone:读取及运行列出文件目录读取 3 m7 b& d$ Q% i) V6 `# a" s( q
(允许将来自父系的可继承性权限传播给对象) $ d: C F4 V' b3 s2 q
c、/inetpub/wwwroot:
+ g, ]' n* K1 Q# Y% Q, qiusr_machine:读取及运行列出文件目录读取
3 Q" I- \ k; m1 V; k; i4 f(允许将来自父系的可继承性权限传播给对象)
2 x' V# s& N& @& N He、/winnt/system32:' H6 d0 i* W7 n
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% Y, f5 |$ g1 Uf、/winnt:
3 M. |: |( Q4 F! J9 ]2 {2 P选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
g- e9 t* E0 P, fg、/winnt:5 P" W0 ]. Q! M q
' u/ x0 F+ X# f7 l. o7 }everyone:读取及运行列出文件目录读取
) n& ]/ |9 [/ y7 R5 O/ L5 q(允许将来自父系的可继承性权限传播给对象)
, a8 w1 P6 [5 ~8 m3 w" N& k6 Rh、/winnt/temp:(允许访问数据库并显示在asp页面上)
& P% e7 q# m+ L: Z8 eeveryone:修改
9 ]& n9 g; o2 I$ Y* Q1 @(允许将来自父系的可继承性权限传播给对象)
' t' [& N# t6 w( z R7 H10、如何隐藏iis版本
5 S+ j! t- l# A一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
; p* j( ~ ]2 x& |7 i# giis存放IIS BANNER的所对应的dll文件如下:4 v$ u$ z! U- x2 I7 n' u: r: j0 b0 Y
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
8 h" s' Y0 Z# }( C. Q3 J4 _FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL8 P$ ?8 I2 F0 @4 L
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL - ]) r0 f# R% N( `+ Y& z6 i
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
1 U+ J+ g6 l" h) @具体过程如下:6 g* V' M+ B Y6 f
1、停掉iis iisreset /stop
5 |* [! e4 V8 o, k9 x) M5 h6 _2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件* [& n: I' g% }% `4 _8 Q
3、修改 |
|
发表于 2008-1-25 02:15
| 