|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行* }3 e$ I, ~# q. Y
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... / n, o5 u4 a' k0 M, X1 v( Q! q
2、如何防止asp木马
% _' `# W& D4 O3 \ M基于FileSystemObject组件的asp木马
/ _5 o0 {4 L+ O% C B$ lcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用# B* |- G* Q7 d1 D7 N2 V% E6 f& m7 `
regsvr32 scrrun.dll /u /s //删除
2 _1 ~& K2 t. L基于shell.application组件的asp木马8 S2 N' ~% J. O3 x2 Z
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
: q. l* N# V$ nregsvr32 shell32.dll /u /s //删除 : c: a) c" e# V" u* w
3、如何加密asp文件
; B) u+ B# m5 h) {2 H: G% x9 P从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 $ e% M- P1 f2 N
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
# v) k" A9 G# R, U1 u4 z运行screnc - l vbscript source.asp destination.asp
) V8 Z. X: j; [% [& H$ f3 i& O生成包含密文ASP脚本的新文件destination.asp* r I/ @& L2 ^$ S; z0 V N: I
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了# s- b5 o. o# Y9 g- k
但无法加密中文。
6 I1 \+ b9 l" U+ u8 c4、如何从IISLockdown中提取urlscan 3 P' c1 U' l Z" [. b* F3 l
iislockd.exe /q /c /t:c:/urlscan
. [/ J$ Y8 T/ p2 J7 k; L5、如何防止Content-Location标头暴露了web服务器的内部IP地址
- D, E) O) |9 D5 s( Z执行 3 w/ a. h" |) Z9 q
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True : P6 E6 C/ q( k4 D! j$ H0 j0 t( ~) R* f
最后需要重新启动iis $ x, l+ `1 n# Z- |# k/ N
6、如何解决HTTP500内部错误- g. z. J& p8 W: |
iis http500内部错误大部分原因
) G/ b) G+ R% ~! b主要是由于iwam账号的密码不同步造成的。3 i. V1 m1 D) ]( W5 z/ s7 e
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。8 P2 {0 B' R' Q, w" u# q/ H
执行 / P R: w/ h% K' O- `" h
cscript c:/inetpub/adminscripts/synciwam.vbs -v
! o! A/ g' Y, ]9 |, _7、如何增强iis防御SYN Flood的能力5 H% }5 F9 T* b; |
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
. Q! g4 S) X6 [. f# s$ I* W6 d( s启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
6 C' y& u0 J" J"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 G5 k( a1 S$ M; g+ b2 m& p"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
7 r# k8 v& C7 k p4 S0 ]设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ) b: L3 R5 |8 `
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
. s" L# U9 [: W) v9 ]6 c微软站点安全推荐为2。; r: H7 M: n; U0 j; a/ \: g4 S
"TcpMaxConnectResponseRetransmissions"=dword:00000001
) Y* M' T+ s* s% a& y r4 f设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 . k9 w. r* z" j
"TcpMaxDataRetransmissions"=dword:00000003, @. e w2 B2 `/ e6 R
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
( m& Y) Y: w3 w8 r"TCPMaxPortsExhausted"=dword:00000005
7 Q% M Q$ C) Q' c禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 : @3 E% t R- t+ J" t( E$ x6 S
"DisableIPSourceRouting"=dword:0000002+ o! ~, d# Y& d0 M" C7 s" u/ u
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。! b; x, o! N4 F: D3 A. U/ ], e! u
"TcpTimedWaitDelay"=dword:0000001e
/ S! O* [5 Y4 i% F! k: \5 V, V- } W' W- u+ l8 C
8、如何避免*mdb文件被下载
: z# ^! Q& M0 C安装ms发布的urlscan工具,可以从根本上解决这个问题。: t5 v4 f) o, Y& {
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
2 y$ i1 T- h: @9、如何让iis的最小ntfs权限运行
) w, R6 B. [) `4 P+ \% {& B9 ]6 B依次做下面的工作: 0 z* v$ H0 F: h: p3 U
a、选取整个硬盘:
( T! J+ L: |: p$ i; D/ e8 t; o; P, y! Csystem:完全控制* R r4 Y7 W* [! N: v" E
administrator:完全控制$ K6 m5 n' S& V5 l+ U
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
" @% s. O) H6 J0 I6 C9 Peveryone:读取及运行列出文件目录读取 + E U8 D' Z4 h8 J& V( j9 a9 b) Q& q
(允许将来自父系的可继承性权限传播给对象)
/ D/ a0 a; F' _& c+ K' e5 o* L# hc、/inetpub/wwwroot:
* v+ ?1 i9 X% E7 Q$ F) diusr_machine:读取及运行列出文件目录读取
$ C& }( L7 j/ f' u$ F9 l(允许将来自父系的可继承性权限传播给对象)- B( g& }+ L& i7 o
e、/winnt/system32:
' [, D2 {6 K" N1 Y+ n$ \选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! |9 @5 r8 J# b' D( Jf、/winnt: / t P5 ~* S- A Q' d# W
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。1 `( n1 k- \3 h% S1 W5 i$ U. X
g、/winnt:
+ e0 ~% k) M' O% N
8 v3 G- X$ U& N( D: v% n2 G Ceveryone:读取及运行列出文件目录读取
- x1 y& ~' L$ A2 }2 z(允许将来自父系的可继承性权限传播给对象)
' H( ?3 y! {; Uh、/winnt/temp:(允许访问数据库并显示在asp页面上)
% K2 v+ q2 F4 t! D6 g: c" Neveryone:修改 ) V1 y: A; v( I2 x" j( h+ R
(允许将来自父系的可继承性权限传播给对象)
8 `4 I. Q5 `% w10、如何隐藏iis版本 2 g s" ]) x& }$ X
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 0 z! Z1 }" Y0 `, J2 f( Q
iis存放IIS BANNER的所对应的dll文件如下:
' i9 I: ^% T) L- JWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
H6 `) m$ `/ ~# t- hFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% Y6 p: g# a) |$ C mSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL . k. R) N& X; Y' V
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ! g4 R- I! H a; `' ^' P
具体过程如下:
' ~7 T; m, Q4 u! ^5 _1、停掉iis iisreset /stop
% G* F8 } }1 |, |# J% r/ i' E; G2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件3 w+ `! L' w7 `; X5 N# {0 H1 a
3、修改 |
|
发表于 2008-1-25 02:15
| 