|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14161
- 金币
- 2371
- 威望
- 1647
- 贡献
- 1319
|
1、如何让asp脚本以system权限运行3 H y& C4 {6 k- _) F
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 1 |7 {& \2 s) w" p7 }$ w
2、如何防止asp木马 % x2 `$ e8 O9 d4 O. i/ \) _$ Z& R
基于FileSystemObject组件的asp木马 - {/ k0 r, c7 H2 T
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
( [( A4 j7 k/ rregsvr32 scrrun.dll /u /s //删除9 O1 u4 L, F4 S. ]' |0 y
基于shell.application组件的asp木马) r- {1 P7 H7 R$ y# _9 w) M+ c
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
1 o% F ]+ p0 D n! i6 \2 ~" rregsvr32 shell32.dll /u /s //删除 8 D l1 ]! ?: b6 X) z0 w# C/ W
3、如何加密asp文件 9 @7 g: ^7 B" o
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
M1 z3 a- q8 U5 }$ c! @* a安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 H: u9 ~0 [ F$ K) y
运行screnc - l vbscript source.asp destination.asp
$ r3 x/ a" ~# {% Z* _生成包含密文ASP脚本的新文件destination.asp' L' _- u7 _7 m: {3 g" v2 N2 \
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( E5 K: v% X: {6 G但无法加密中文。
8 x! G0 x8 p3 x2 X$ M4、如何从IISLockdown中提取urlscan " y2 u4 Q1 ~. p. Q! z: [" M. x
iislockd.exe /q /c /t:c:/urlscan
; m0 f# q) E. y- E0 V5、如何防止Content-Location标头暴露了web服务器的内部IP地址
3 b( G0 I( t6 M# l3 Q! w执行 4 @' n' t y, D4 Q9 {, h5 L
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
! X% v: G4 w8 T4 V% t6 e$ T$ z( K. [+ I& Q最后需要重新启动iis 8 C' N$ N# |% S% J1 H& ~0 |
6、如何解决HTTP500内部错误
$ l" i- o3 O7 t" M1 }" ]iis http500内部错误大部分原因
$ E5 d' K8 B- ]6 I主要是由于iwam账号的密码不同步造成的。7 F, o) R4 F ^* S
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" l; l! k+ m! |( X执行 8 j" L% r3 M! R) i
cscript c:/inetpub/adminscripts/synciwam.vbs -v
- _$ G, n% H4 e* N7、如何增强iis防御SYN Flood的能力& ?/ [4 P; w! l. w1 U
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ' J; J6 U a' D/ ?3 \
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
& U$ f8 m1 ]+ Y! c+ D( h"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。* m# b: t! n) V+ O+ {, l1 x! ~/ W0 z
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000503 w/ w7 d: Z2 N" `( R( E1 k$ V) ~
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
5 n [% X" B. z T% u项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。1 }1 J% x3 `/ e- m
微软站点安全推荐为2。
; ?+ G/ }; C4 f! [4 q8 d! }5 q"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 K+ O2 U6 d- g; n1 h' O9 [ N设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 6 E- X# X( _) Q; \# r+ |! s: F
"TcpMaxDataRetransmissions"=dword:00000003& Y" c; {( w5 k0 Y- Z) B! V' J* O
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 H( R; a, [, f' \* |, b"TCPMaxPortsExhausted"=dword:00000005 & j( K+ ? Z0 e7 O9 d
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 7 V/ \0 V0 h; W9 H
"DisableIPSourceRouting"=dword:0000002
/ ~5 i: B& t3 A& m& t限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。' z' w4 c) R$ z7 {" C* F# P
"TcpTimedWaitDelay"=dword:0000001e; T3 f5 z" c; O2 }. x9 j
2 a+ k& ~6 N: x3 T! o. I8、如何避免*mdb文件被下载
5 \# |4 S1 J8 i, m1 C安装ms发布的urlscan工具,可以从根本上解决这个问题。5 [$ K" L( {; w' W% r
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ( c" t5 Q5 D4 w* d3 }/ w
9、如何让iis的最小ntfs权限运行
+ ^6 L2 P4 ~3 e依次做下面的工作: " Z$ ~7 a5 T- C5 g; z
a、选取整个硬盘:
~1 ?+ T& }% K1 h; V4 q g) dsystem:完全控制
$ H; X1 o" c/ j; g! ^, A3 iadministrator:完全控制0 D/ u$ D' L' S# Q( M- a. \' B
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
' U+ T- N4 ?4 y: J" u5 }- T( ^. q' ieveryone:读取及运行列出文件目录读取
" s# ]/ d8 ^' Y(允许将来自父系的可继承性权限传播给对象) ; s* ^, _0 x! k& `1 [7 @
c、/inetpub/wwwroot:
1 f k" z) ~4 D0 \- g& Q( f7 [iusr_machine:读取及运行列出文件目录读取1 E4 I& W, p/ ~' }5 x
(允许将来自父系的可继承性权限传播给对象)
5 W& |9 F/ `6 a! K, }e、/winnt/system32:1 v2 f4 c- [3 C: }4 d
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 }' f% a" b8 q$ o4 Lf、/winnt:
$ B- o" Z" F9 h% x1 V选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 o( Z) z1 l. V% G% Lg、/winnt:
2 _' s4 |( j1 E, |% R2 E7 [4 C- s # g0 \& u5 Y1 R1 |9 B7 A4 n8 H" e
everyone:读取及运行列出文件目录读取
6 j* g, e& z& Z* ?# \ [(允许将来自父系的可继承性权限传播给对象) & J- o" S' f* s# q, i
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
" N1 r! L o8 r+ r7 |everyone:修改 & [" k9 `" [0 P- S! ~0 z% M
(允许将来自父系的可继承性权限传播给对象)
+ A! O/ _6 g3 m8 s9 F- Q {! o10、如何隐藏iis版本
7 [- V, v1 o: d一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
' B: Z$ z/ v5 viis存放IIS BANNER的所对应的dll文件如下:" ]( l4 k' Y; u
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL " H4 W0 j L- G) `
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
3 U$ u% _+ q$ `3 O8 lSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL ; ]! W4 W M ]4 \9 x) m- [
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
5 q% ]* K) A& x5 ~. S% Y2 Q& D6 C具体过程如下:
f* _; P0 p: s, K5 P9 F9 H1、停掉iis iisreset /stop % R' q4 U% j6 d5 H
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
- J7 n8 U1 p0 l- O! C7 ?: Z3、修改 |
|
发表于 2008-1-25 02:15
| 