|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14161
- 金币
- 2371
- 威望
- 1647
- 贡献
- 1319
|
1、如何让asp脚本以system权限运行3 P4 F# M5 i9 R3 E0 m
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
; V- [& S/ ^. N7 a- P4 j8 d2、如何防止asp木马
2 O" b$ a2 R; V7 l基于FileSystemObject组件的asp木马
7 X2 I' Z/ j: j8 r4 T& ?5 R$ mcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
% @9 a4 G) I* Zregsvr32 scrrun.dll /u /s //删除
& _- k6 w6 C* \; C: A E& ]基于shell.application组件的asp木马
8 o4 x1 }. L' W; Ccacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
, ~# M' G* D _& r s' tregsvr32 shell32.dll /u /s //删除
$ m+ m B. n. v) L+ X& v3、如何加密asp文件 0 r; \% |3 Y U6 k7 e* x
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 - X* E1 ?8 Z1 [1 v8 [! U3 F. f
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。& _8 t/ }2 z# Z, n/ |9 {8 R
运行screnc - l vbscript source.asp destination.asp
3 @) p4 t a. A* M% v; B生成包含密文ASP脚本的新文件destination.asp6 o! Q, o& j) Q9 y& w. }7 A4 {! R
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了5 \5 H4 [) g& _1 X/ N
但无法加密中文。
! W7 @5 k; h4 \. g5 e" W4、如何从IISLockdown中提取urlscan
0 ?9 T5 {; K2 \iislockd.exe /q /c /t:c:/urlscan
P( ~6 E: C1 w1 x9 k5、如何防止Content-Location标头暴露了web服务器的内部IP地址
+ y+ C$ M2 R4 O. E) K' T$ u执行
- J2 \! F+ O/ n$ ], A) C$ l# vcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
. [5 |6 ?: h; l4 F2 W) G/ [- Y# `最后需要重新启动iis 5 O, v. d4 F! W: {
6、如何解决HTTP500内部错误
2 s' b# w7 H" n4 W: a& Iiis http500内部错误大部分原因
- z$ y( s7 @' U( g2 u4 P- T主要是由于iwam账号的密码不同步造成的。
% E* b$ V$ |! R( J0 e我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
' }+ @, S# X3 B6 W' x4 v3 Y执行 0 X2 `& b8 b6 ]% f
cscript c:/inetpub/adminscripts/synciwam.vbs -v( ~" \' Z0 B( l9 _7 k* F' e& w
7、如何增强iis防御SYN Flood的能力
! k8 M9 ^7 i8 s; Q# `5 ?, qWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 9 d' I3 A) ~0 [8 e, U6 v
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。3 K9 B, S3 o2 \
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
' R( p7 Q" c/ i& h# J$ S, q( e8 {"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
' B- U6 }/ ` a# S/ n% ^设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
9 Q. a7 N* |9 y) n* z$ k, w+ }3 f项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
: w0 V$ @, r. s微软站点安全推荐为2。
+ @1 G ]$ z& C; U"TcpMaxConnectResponseRetransmissions"=dword:00000001
j M; U& L+ z- l) ], P设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
+ R6 t3 }! r/ ]/ ?; j( }: K"TcpMaxDataRetransmissions"=dword:00000003
4 T% c% U! V* f设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。+ Q5 j; b6 s2 G0 I5 j5 B
"TCPMaxPortsExhausted"=dword:00000005 ' p0 Y# @0 v$ z: o1 ]0 {) a& N
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 - J: e7 l) }+ N3 H7 f
"DisableIPSourceRouting"=dword:0000002
2 o6 u5 b; s2 t( h* u: R$ n: W) n/ h限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。8 S* F1 c) X! t9 Z: w _( F0 m
"TcpTimedWaitDelay"=dword:0000001e
2 {7 A$ a* K) G! c; p6 T0 r, }/ ^( `, i, }
8、如何避免*mdb文件被下载3 ? M& ?) Y0 E+ h0 G$ P/ O( Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。
2 C5 r) O! q6 g6 ^同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 K+ Q2 W# h% ^5 k+ G2 ^' i7 n" k
9、如何让iis的最小ntfs权限运行 1 L" `% e. n8 q5 [; Q9 f
依次做下面的工作: 8 W1 e7 B0 c0 F( F/ R* |$ [$ f
a、选取整个硬盘: 8 H, S; ^( g ^3 X8 H. L" W
system:完全控制8 C5 F1 k% L0 s2 F4 d( K
administrator:完全控制
* z0 a8 R# P i(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
5 o4 B j3 Y7 X& [, y' p$ i, |# leveryone:读取及运行列出文件目录读取 5 w/ {- C" x4 T5 a9 Y
(允许将来自父系的可继承性权限传播给对象) & Q4 m: @0 H; {. A/ w
c、/inetpub/wwwroot: 7 D3 y+ l; o# a& W# p# Q- R
iusr_machine:读取及运行列出文件目录读取5 ~. F" D1 e7 z3 k9 X) \
(允许将来自父系的可继承性权限传播给对象)
: X' J+ z! S8 b( y) D; he、/winnt/system32:3 j! ]6 w1 Z5 H( V9 }
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 % r( t8 z3 f* s0 |: ?1 ~- [' P
f、/winnt: 7 d) r1 h5 P8 y
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ W5 l, f' F" ~g、/winnt:0 Q" C! ^( _3 Z1 }) @# Z) |: x
+ N0 m/ v" T' k; }everyone:读取及运行列出文件目录读取
: e1 w, ?/ `. p0 m4 \(允许将来自父系的可继承性权限传播给对象) B1 s( r! k( \! w; E( }' J' S
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
/ L, x+ l ]0 `# v9 E- ueveryone:修改
+ R* E. U$ T! I2 ], h(允许将来自父系的可继承性权限传播给对象)
# U: C+ q: N, t& Q' y' j6 W" [+ M10、如何隐藏iis版本 % x2 t/ J/ d0 m$ h. |. t0 J
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 7 @5 e/ S p9 T: X/ E, c3 K
iis存放IIS BANNER的所对应的dll文件如下:) H% r% z/ i0 a' K# P" \+ l
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL , L. g, r! a, @9 ^0 m- Z0 e5 ]8 q
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL4 Y) Y) H# f' S2 e# `8 {/ g
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
5 I \/ S) P8 ?9 p( l% }/ ]/ o你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 2 E' D: F9 H0 S( V% i! y9 F2 u$ W
具体过程如下:
9 ~1 @, b4 ?6 T" `( i1、停掉iis iisreset /stop
. C0 r7 C0 ^$ N" ]8 i! ?; P2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
. ]! g0 q" S1 W! n9 D* D( F3、修改 |
|
发表于 2008-1-25 02:15
| 