|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行( q- F5 h: X" N V8 } ?
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
$ _2 n8 m4 x. F0 p( J2、如何防止asp木马
- L/ a) V' T: a2 \7 `基于FileSystemObject组件的asp木马
2 V' y' h. }, M4 u4 d' d( Kcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用7 X( S/ |& M \9 X
regsvr32 scrrun.dll /u /s //删除; Q" c7 v( A5 _ ]0 Q3 c# E
基于shell.application组件的asp木马2 o2 [$ [- ~0 u5 {/ y$ \
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
# Z0 Z' w j( fregsvr32 shell32.dll /u /s //删除 4 m/ y9 B7 ]( E- N4 Z1 H$ P
3、如何加密asp文件 : A1 Y7 e% s7 a* R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 / W5 |; f, \9 M2 W" m
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
: U! H9 L9 k3 M6 d运行screnc - l vbscript source.asp destination.asp
. b: }0 y1 I$ v2 g4 B* _* w生成包含密文ASP脚本的新文件destination.asp
) |- E5 i2 Z2 k4 n4 R2 W$ x用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了/ b* |2 I- s) c. c2 W7 i e
但无法加密中文。# _- z; |9 g5 A# `
4、如何从IISLockdown中提取urlscan , j8 n# a- v3 A6 f7 X) Z6 g2 D$ e
iislockd.exe /q /c /t:c:/urlscan
; Q; W, H* I$ Z2 c2 _* Y7 M5、如何防止Content-Location标头暴露了web服务器的内部IP地址 7 I& U# s: k2 y' N
执行 . B% G$ E# H+ |. }* I
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
2 V5 t& Q5 X, }最后需要重新启动iis
3 S5 t( m, U" J8 m1 i6、如何解决HTTP500内部错误: v4 ?: d% v4 F/ q6 t$ w% N; l
iis http500内部错误大部分原因
& _8 B8 j' n) g$ S; z6 e主要是由于iwam账号的密码不同步造成的。$ H& [7 Q n% K% {& Q
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。1 K$ w9 v7 A6 z) b0 V
执行 " u) K6 v d8 h6 j k. J
cscript c:/inetpub/adminscripts/synciwam.vbs -v7 F* S( m2 f6 Z. e% X, B1 h
7、如何增强iis防御SYN Flood的能力; z4 M1 S- M7 P1 w9 j% p
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
3 T, p/ d" g8 X1 V启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。$ `8 ?$ R, x/ X$ c) O. j
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( r7 P" F0 }, x* Q"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050, R: w- R* M. v$ j% G
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 $ H$ ]) w) @5 D% H/ C7 B$ S2 v" {- F
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。8 k1 K/ v$ C2 Z- H' w! @7 t
微软站点安全推荐为2。
& J. L" N r' S7 l: U+ L: j. n0 r"TcpMaxConnectResponseRetransmissions"=dword:00000001 ' }$ n/ L" \% C( h
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 # G% e* \; Z8 E
"TcpMaxDataRetransmissions"=dword:00000003
4 A. w; Q- [0 g" E* o设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。0 f* C. V/ L" t; X, B
"TCPMaxPortsExhausted"=dword:00000005 # i8 q+ C, I2 [$ u8 A; ^6 Y
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
; k" k# d- \; }& X. B. |"DisableIPSourceRouting"=dword:0000002
- j# z1 N# b1 @2 ]( I; W限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
- p$ H* ?9 r1 K8 B- |0 f" a"TcpTimedWaitDelay"=dword:0000001e7 A; S; M3 w' |; S; a* s
. E7 u- j8 K' ]- t) d" s5 w& E
8、如何避免*mdb文件被下载# Q" S& Z$ @. {- u0 v2 T! S
安装ms发布的urlscan工具,可以从根本上解决这个问题。
2 V1 N7 A, |: F# M- F/ \6 `9 q同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 W+ f* R1 P; X# O# d) D$ u
9、如何让iis的最小ntfs权限运行
* l% X% i% x* Q' m依次做下面的工作:
! [1 s& b- n& a3 X# ha、选取整个硬盘:
: n% |* \( U% b& p! n5 ~system:完全控制9 N l& p. H K% z) H ]5 `
administrator:完全控制
5 a" }+ F4 \- P" Q3 `0 o D' I% `$ Z(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
$ I+ i) c7 j E/ T% q- [) E/ ?8 D) severyone:读取及运行列出文件目录读取
7 k& N0 c. U+ F- W(允许将来自父系的可继承性权限传播给对象) % `4 _0 w9 v* \3 { g
c、/inetpub/wwwroot: ! @, k8 }: y) i, S
iusr_machine:读取及运行列出文件目录读取
2 H( a% |* q6 f* H+ g2 \+ T(允许将来自父系的可继承性权限传播给对象)5 Z2 C0 g1 t* O' g/ l/ ^6 Z7 ?" [1 k
e、/winnt/system32:
; c. ?5 j( _3 _8 S选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( E/ ?% _- ~% B. H( u- sf、/winnt: 5 E" m0 M1 t0 v1 j' f- I3 c
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 K" Z0 w1 _9 x k3 C2 X5 hg、/winnt:
2 F$ ?1 j' ]) q# {7 ~* M
0 x1 I7 S6 v! L" U& c1 P8 Deveryone:读取及运行列出文件目录读取7 C8 {# y9 Q9 w' ^* z7 q
(允许将来自父系的可继承性权限传播给对象) ; ?) Z+ J8 L+ j. B# {( Y1 z. V
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
" |$ C w- c# l. O5 Ieveryone:修改 / O: q* U. h" P
(允许将来自父系的可继承性权限传播给对象)# v. w# ^* ~ G, y) `
10、如何隐藏iis版本 ; }6 C5 o5 t' M) V7 D* ^
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 3 s# ^( ]: M7 m1 {* h& Q$ ?! ~
iis存放IIS BANNER的所对应的dll文件如下:3 C8 a7 s( C, E- X+ S2 l; j+ D
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ( C5 C6 I4 ^# e' G0 p' m; ?$ u/ Q* m
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL$ m1 J! y& X- ]; S# u* [* @8 u
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 3 H# U0 H# k; t& B( \$ H$ Y
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
2 h7 o, D& @7 J, y* k! j1 C具体过程如下:( K6 Y+ L( D) b) M* K2 A3 b6 _
1、停掉iis iisreset /stop
9 X6 e& u# S. D5 x; A, P2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件0 D4 s# W/ U/ @) V, l
3、修改 |
|
发表于 2008-1-25 02:15
| 