|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行
) O& Q8 h# G; v修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ; ~- E4 i) \9 k, O# _" N/ |
2、如何防止asp木马
" _& z# Q0 l' P( B. n: K. f% z3 x基于FileSystemObject组件的asp木马
# D8 \! y- R9 o* k& \- Hcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用/ ^1 t" E* H5 ?" o0 D. c
regsvr32 scrrun.dll /u /s //删除; m: p/ g/ ?1 ~+ D/ }
基于shell.application组件的asp木马/ Q! r/ b; h1 ~* U
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 % F5 ]- A" w9 n
regsvr32 shell32.dll /u /s //删除
/ v3 m+ [/ |% ]3、如何加密asp文件 . ]& e2 Q0 }* f; I" x
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
. U9 r2 p6 F+ }7 o- L安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。1 R8 K' Y- l I; {! Q' @8 y. }
运行screnc - l vbscript source.asp destination.asp
& t- G! ^& |( J/ i生成包含密文ASP脚本的新文件destination.asp
4 n( S1 H4 p3 [5 Y- j用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
+ \, |3 Y5 E% e y/ \$ [( L7 d7 _但无法加密中文。
0 O) n9 b4 G# [. ^/ Z4、如何从IISLockdown中提取urlscan ! c, V6 j% H& ]0 h7 j# ^4 @
iislockd.exe /q /c /t:c:/urlscan) C8 X+ T9 i5 H$ ?2 T) I5 P/ g
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
7 C+ l( @+ Y, E执行 + y7 A- z+ [! ]+ ^5 {0 Q
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
" u6 U" d$ a3 u- c/ x. @最后需要重新启动iis / s, |2 X, e7 q
6、如何解决HTTP500内部错误
. D- u3 m) E9 w4 y# W! o0 q M/ miis http500内部错误大部分原因
' c/ w; S" V3 Q; _7 c6 a主要是由于iwam账号的密码不同步造成的。+ m- J) l9 p+ c% U! O
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。6 }; e1 Z4 K, ^- L& ?" X7 p
执行
; @; a0 g. ]7 m: b8 p! Z. K8 Fcscript c:/inetpub/adminscripts/synciwam.vbs -v; f! l7 u1 r( L( c
7、如何增强iis防御SYN Flood的能力% e; `; ~0 M% B# {
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] + `9 s1 H5 N/ r' W# x8 o
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。. v; U( ]4 ^, V
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。( e7 `; m$ o2 J0 [( T
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
" u8 K; R8 u/ L* B设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 9 z0 o, A( i D/ G0 D
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
: v! \2 G4 b, [0 @" U; m% i: `2 t微软站点安全推荐为2。" j" x) w7 F3 s. j# j q
"TcpMaxConnectResponseRetransmissions"=dword:00000001 5 Z3 l* M' r& A: W
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
: p8 {# C( Q9 c. u( @"TcpMaxDataRetransmissions"=dword:00000003, }' v. G% Z1 y" |
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 _# h$ `7 y9 q: b"TCPMaxPortsExhausted"=dword:00000005 : p. m( R4 k* V6 H: g2 n4 z# m
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
4 z9 ?- ^* j0 t0 n"DisableIPSourceRouting"=dword:0000002
) \. H, D* p1 t1 Q限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。! `" E1 q% e" f, f: K. G$ M4 E. @" x
"TcpTimedWaitDelay"=dword:0000001e* a$ |) {1 U& g+ p" C6 R% K8 g( T4 i
' p: W" J2 M7 C8、如何避免*mdb文件被下载
$ u' m# t. q' K* }安装ms发布的urlscan工具,可以从根本上解决这个问题。 j( c/ r8 n- G+ }+ _
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ' x( l/ W* ? B3 Q' W
9、如何让iis的最小ntfs权限运行
# u7 P4 E' u% ^9 J% N依次做下面的工作:
: d' R* \8 S' ?& L0 A. va、选取整个硬盘: 6 I; l- [" H; R5 o: k# A
system:完全控制
- L/ a: f1 l# m' [" h5 s/ kadministrator:完全控制. `- c$ |4 i6 l" P
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 8 G/ m2 D. O ^# [4 V5 o* m
everyone:读取及运行列出文件目录读取 - h% F3 g5 ?+ g! Y3 U+ E+ ~
(允许将来自父系的可继承性权限传播给对象) 1 d2 P- H6 w; i
c、/inetpub/wwwroot:
) S' M% X% C& j5 a* ?$ q1 d9 e3 ^' oiusr_machine:读取及运行列出文件目录读取0 y) T0 {1 x# w# z$ Q
(允许将来自父系的可继承性权限传播给对象)* g1 V/ \ O$ f* L+ z% l
e、/winnt/system32:
4 q4 f9 Z }; l5 w选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 # k3 j* P3 A) d$ a% A1 [6 d% n5 T
f、/winnt:
( f0 X- f1 b9 c/ ?% n选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。1 n7 ~/ F4 d, H8 m
g、/winnt:% f4 y- @6 F$ P* m
, i2 ]7 E% K0 W/ y( ~8 Ueveryone:读取及运行列出文件目录读取
5 D& U l3 V: a) b1 j& N6 D, L; e(允许将来自父系的可继承性权限传播给对象)
2 X" t& G/ I# j8 Zh、/winnt/temp:(允许访问数据库并显示在asp页面上) 1 H- C9 E& [2 M( J% U
everyone:修改 : H U- j' W+ J2 x' {* B
(允许将来自父系的可继承性权限传播给对象)& f8 {+ l# H% p0 l% L, V) z% T9 u
10、如何隐藏iis版本 ) I; X# D* {. `: n* T5 _7 Q
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
/ s0 L1 y5 E7 R; b% P: ^iis存放IIS BANNER的所对应的dll文件如下:
- n+ W1 F$ ^2 L; ~+ ^4 f3 U% H6 cWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL + h5 ]8 h7 G0 V: H) ? E9 g% X6 w e: ?
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL' P' \ t9 C q q1 _ L7 n3 V2 }
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
8 z* _9 @( w8 [& q% ~2 H9 Z" Z你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
; N/ h2 `0 d/ o* ]9 N具体过程如下:
+ b: P" `. U5 i5 b' K1、停掉iis iisreset /stop
( F" t& g# m1 m2 M5 @6 O+ H7 N L: ^1 I2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件6 G9 m) [# f7 I0 }" k
3、修改 |
|
发表于 2008-1-25 02:15
| 