|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行# d. H9 |+ l5 q b% V
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 9 s; o; ~1 k( ]" A
2、如何防止asp木马 5 V9 A- ]6 H, J) @
基于FileSystemObject组件的asp木马 2 P3 {( ]5 k/ d3 T! X
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用; J( R5 P0 m E+ i+ ?3 C1 i% W
regsvr32 scrrun.dll /u /s //删除6 ?( G2 U J" ^" u7 A
基于shell.application组件的asp木马
: T- [7 p( M0 P4 w; Q) k! S+ Ecacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 # E' T1 v# C2 a
regsvr32 shell32.dll /u /s //删除 9 A( W: h/ G1 B/ U
3、如何加密asp文件 8 x4 r1 _% @! @/ _3 b6 y5 w% z7 a1 i
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ' j% @+ r a6 e9 F% S! \
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& P- ^4 ^ Z3 c: i1 L运行screnc - l vbscript source.asp destination.asp2 N) h+ }, q# s- H( [
生成包含密文ASP脚本的新文件destination.asp$ P5 e u* l) C2 j# a. p+ ^* M A
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
. {# E5 V5 L' }但无法加密中文。% V" E& o6 S" S. q, i
4、如何从IISLockdown中提取urlscan ' x) L, P$ c- z, E5 _
iislockd.exe /q /c /t:c:/urlscan
. g, `! j0 E0 V( K4 @ f, p; @5、如何防止Content-Location标头暴露了web服务器的内部IP地址
. B% F; s& t( ^* R执行
0 b1 A$ Z, q: Y2 Ecscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
- A( |/ t( K/ o6 j6 ]" S2 o最后需要重新启动iis
% d7 P3 ~7 P0 T) c+ Q3 D' D6、如何解决HTTP500内部错误- ~8 J1 J# c' i8 F5 g
iis http500内部错误大部分原因
7 x3 e% a( T& J, L$ B主要是由于iwam账号的密码不同步造成的。
9 S# p7 @3 ]- Q/ M4 U4 e我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
0 A0 L( S! r3 p' r" ?执行
$ R5 }8 ?0 K7 [8 r* scscript c:/inetpub/adminscripts/synciwam.vbs -v
6 A$ U. @1 P- g) ~. d. {7、如何增强iis防御SYN Flood的能力
, k" b) W1 [; p0 F6 jWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
7 Y2 S/ c. l( C& _8 S启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
m+ c% Y( ^! f" Z1 U; X"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。' D1 b8 f. z% [' a$ p
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
8 ^! K+ B6 z3 [ j设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 3 o0 y5 ?8 l! b0 F- Q
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
- z" Z: m+ q8 b3 e8 u0 [- S微软站点安全推荐为2。
/ z. }6 V7 E# b"TcpMaxConnectResponseRetransmissions"=dword:00000001 P: a8 A O( Q( \: R1 G+ j, [
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
8 R" B. ~: I1 [% k"TcpMaxDataRetransmissions"=dword:00000003
( \; I% c6 \3 G3 z: {设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。# D3 i Z! v/ W. r
"TCPMaxPortsExhausted"=dword:00000005 : ~$ P& `# _# f# T0 P, v( q2 @5 r* k
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
$ t ?1 l% f* s4 ]4 M( i- B9 X( f"DisableIPSourceRouting"=dword:0000002
/ G' B+ u- a2 b O! N限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。8 O6 k6 _- J d( h( V$ n
"TcpTimedWaitDelay"=dword:0000001e! B4 F2 U# {" { e+ F* u3 p
1 T: Z; B: i& O9 J4 u8、如何避免*mdb文件被下载
# u0 `! ~% g9 k4 n* ~' n9 ?4 b安装ms发布的urlscan工具,可以从根本上解决这个问题。
4 l6 H' n% }, n7 g5 }3 T6 F* }6 P同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
0 S& x2 s' @$ e6 U& c9、如何让iis的最小ntfs权限运行 % u' [0 Q' K% [: b1 U' o) @" G
依次做下面的工作:
6 ~! M0 E7 ^" O, G% }% ]a、选取整个硬盘: % } C/ r9 r4 {
system:完全控制
9 K3 m4 J* U3 M- F# xadministrator:完全控制: V3 T( r/ f& M& L
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: . L: n; X- E) f' Q) n, V6 a
everyone:读取及运行列出文件目录读取
; j! _ e! ?& }& b, J(允许将来自父系的可继承性权限传播给对象)
* W% {( E8 t# V Y6 _c、/inetpub/wwwroot: 0 u7 }" ]4 N7 m( y* w) L
iusr_machine:读取及运行列出文件目录读取
5 g8 q& C. O) Z1 M4 @5 a(允许将来自父系的可继承性权限传播给对象)0 q9 b* Y1 Z4 u4 n2 y6 x2 o, m
e、/winnt/system32:- k t% b5 ^5 V U- n, n
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" y h( t" [- }# ?f、/winnt: ! ]' E0 N6 e" B7 w
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。' O+ r. s l/ e* _
g、/winnt:
/ D, E5 k+ N% ~ ' q/ G8 B2 W' S% [
everyone:读取及运行列出文件目录读取
, G& u4 H* ~" l \3 @: {(允许将来自父系的可继承性权限传播给对象) . f/ A+ O0 B9 h- @& T9 r
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
N# ~. _1 J( @5 Q/ w5 yeveryone:修改 + F5 \: H/ h+ g7 L; r
(允许将来自父系的可继承性权限传播给对象)
( G' X' h, `' _10、如何隐藏iis版本 " x g# {3 R9 P8 |" z% R5 T( N' T: r9 v
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
7 C8 L" o( |/ j" g, uiis存放IIS BANNER的所对应的dll文件如下:5 G0 a8 p- @" u6 a) `
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
. p T% t3 X2 E, ^' L- |FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL% B, h {& d; r* \% B4 y2 A# T
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL * c6 N) C/ p* m4 K' Y) ?
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ; j+ u& O" J# A5 ~' w
具体过程如下:" B3 O) Q" z1 h: J# V
1、停掉iis iisreset /stop 3 V+ V. z7 G# \3 N
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
; g! Q# f" j0 K: w3、修改 |
|
发表于 2008-1-25 02:15
| 