|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14249
- 金币
- 2415
- 威望
- 1647
- 贡献
- 1363
|
1、如何让asp脚本以system权限运行- D3 y) [$ {: n- I: B$ }
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
{, K+ x" {) R0 k1 b5 N2 i- b2、如何防止asp木马 5 {7 g( w0 @; k2 |. T
基于FileSystemObject组件的asp木马 6 L) J) B( `2 w1 c
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用8 C2 N1 t0 A6 T6 s
regsvr32 scrrun.dll /u /s //删除
& N/ y. a2 Z, H# F% s7 v5 ~基于shell.application组件的asp木马# K! S# D+ k+ m6 A
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
0 r% k( v! E+ q5 R: j5 g/ pregsvr32 shell32.dll /u /s //删除 L. a' O! T% H) A& _" F
3、如何加密asp文件 & P, a% Z0 c6 `" O% J
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " L' L2 y( i6 n3 ~/ Y# k* W- U
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
7 V/ Z; Y- {7 B) a! O运行screnc - l vbscript source.asp destination.asp
+ w+ z/ v5 O' B9 c生成包含密文ASP脚本的新文件destination.asp( B, D7 O1 ^+ I
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
- G6 X) p, m: D# U& g' F7 o但无法加密中文。. ^& X, j" J# k3 k! ?$ ~
4、如何从IISLockdown中提取urlscan
" U0 x" ^; T/ s8 x# \4 l: j; Qiislockd.exe /q /c /t:c:/urlscan2 w$ B' `" C: i# {! j' s
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
) s. z2 ^5 q3 n9 l3 l执行
& f6 L$ p; v" b* P/ {% Zcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True # m8 H% Y: D; x8 Z& C$ C6 ~
最后需要重新启动iis
( q. Y$ E+ k: m2 J, P/ N3 @6、如何解决HTTP500内部错误% L# x5 o9 }, A
iis http500内部错误大部分原因8 f7 N+ H4 x! Z4 s: c
主要是由于iwam账号的密码不同步造成的。* n; v; j/ Q- j+ ]
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 M8 B2 Z1 F! o& {" a- k. v9 ?- Z8 F$ f执行 ! G6 C& F( h8 Z$ w
cscript c:/inetpub/adminscripts/synciwam.vbs -v9 R' Q2 U$ q( y! f, D7 Z
7、如何增强iis防御SYN Flood的能力' \1 H4 ~- m, s
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
* J4 E6 o8 n1 Q: G) G8 J启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 \: B$ x, \8 H" }: Z"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
+ |. R" ]+ W9 {- J, r3 o, p% K"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
" c4 i2 S/ m9 M' v" V2 V设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
0 _" O5 [7 O$ t! w0 K0 t. F- J项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
' |0 t) Y- N6 f. a1 H7 Z微软站点安全推荐为2。
+ b" @0 i- e2 {; I, T5 Q"TcpMaxConnectResponseRetransmissions"=dword:00000001
* R5 i' a3 y& O# U7 p* ^设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 + @( B6 n3 P& c6 R6 Y" Y8 K) }0 c& R
"TcpMaxDataRetransmissions"=dword:00000003
+ L' V3 O/ V7 {7 a4 b设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。9 n( [- y) H3 }' f
"TCPMaxPortsExhausted"=dword:00000005 0 }3 k$ P( R+ ~- p$ e2 ~, R
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
9 ?! C# {) C" }6 N, q% D"DisableIPSourceRouting"=dword:0000002
) g- @( c6 J. g: h" x3 H5 n限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。6 \/ L! L* E" u0 @' ^
"TcpTimedWaitDelay"=dword:0000001e
; E+ ~7 C/ s& E) g" F! t9 v- @( p! ^# j7 Y7 ?: F: H! Z
8、如何避免*mdb文件被下载0 E" @: a* g, R, J& B" O# {
安装ms发布的urlscan工具,可以从根本上解决这个问题。
/ r. h$ O! _( G% y同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
! ?. F+ A V6 e2 a0 ~: |9、如何让iis的最小ntfs权限运行 ! Z; U. {3 W, e9 {# {8 a" l
依次做下面的工作:
3 X# b/ D& u2 P, |" K" M% W5 qa、选取整个硬盘:
/ o$ z! x; F! d3 j0 tsystem:完全控制
& n( k. o8 J5 yadministrator:完全控制3 Z& L X9 e+ b- Y) t) m
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
7 I c3 k* G: n. L+ T% i4 M% _( M8 geveryone:读取及运行列出文件目录读取 + I5 Y8 m" v8 d* z: Z8 [
(允许将来自父系的可继承性权限传播给对象) _" n) W/ Y! K: l- J1 B8 \) R
c、/inetpub/wwwroot: 0 J1 S3 v1 z5 F* e: Q! j8 ]* p
iusr_machine:读取及运行列出文件目录读取
- Z. k# P/ F! A1 l: L2 z, e(允许将来自父系的可继承性权限传播给对象)
1 A4 @# ^7 c% r4 Ke、/winnt/system32:
+ O4 k* k) n- W7 l1 ]" ^: k# l ^选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 }2 f/ |: e6 t
f、/winnt:
0 g7 f0 z G. g1 B3 U0 c9 L, e选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: b1 R3 L" F- k4 Ng、/winnt:
! x6 w; Y3 s" [# i$ {+ o 7 g) P0 o( f9 W
everyone:读取及运行列出文件目录读取* k+ o$ m( |& l8 ?2 A2 i; x
(允许将来自父系的可继承性权限传播给对象) 4 D1 r: u8 H' `2 t: r: i! P3 a
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
% ^2 P) o+ N; {% p) B+ v8 Leveryone:修改
1 ]7 |" T K6 I4 U5 D* O) n(允许将来自父系的可继承性权限传播给对象)# e s D5 E" U
10、如何隐藏iis版本
2 ?9 ?. I8 w2 i一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
; H" B% F3 {' W8 V$ I+ G9 Aiis存放IIS BANNER的所对应的dll文件如下:
" i& h# b# J: V2 O- eWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
3 d' v! X9 L7 @9 ~: BFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
( H- b. S! j3 ~5 r8 n7 ]/ b% _SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
2 I$ f, S4 q! t* b你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 / K8 e' d1 e1 H: M& y+ ^; n x
具体过程如下: E# Z$ m2 _; L
1、停掉iis iisreset /stop 2 E: N# n0 g* Q3 \8 S8 X4 n! ~
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
6 _% r; i4 ]' v* c' x3、修改 |
|
发表于 2008-1-25 02:15
| 