|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14161
- 金币
- 2371
- 威望
- 1647
- 贡献
- 1319
|
1、如何让asp脚本以system权限运行5 _: J0 Z3 V# i
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
6 d$ @# ~+ S( k$ ~2、如何防止asp木马 & _7 H! D) m8 Z$ \! j
基于FileSystemObject组件的asp木马 : b6 j# L0 o! O4 C8 u; M
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
2 u' t# @9 d1 F0 E3 V5 \$ nregsvr32 scrrun.dll /u /s //删除
5 ?7 j O ~' w. L$ p; a基于shell.application组件的asp木马
. R) D+ P1 V0 K% ^, ecacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ' x# C8 }6 z) F& c7 @4 w
regsvr32 shell32.dll /u /s //删除 4 l8 J) D4 X1 `: D# z+ f
3、如何加密asp文件
5 T- z. P0 d4 P! J+ Q- ^9 F从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 * y% M5 L# ?% v. c- u
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
. c7 @" [$ D- J( r运行screnc - l vbscript source.asp destination.asp: r% s- P& a f, O( a) j Z
生成包含密文ASP脚本的新文件destination.asp1 v% q% L% L# B, u& k
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了3 X* R& f; x# _7 @; K, C
但无法加密中文。
4 k% Y o- e3 o" D) X, B! `. t; Z4、如何从IISLockdown中提取urlscan & U/ W) a1 ^: k" E; d
iislockd.exe /q /c /t:c:/urlscan
7 E/ N0 w+ b1 I% j9 |5、如何防止Content-Location标头暴露了web服务器的内部IP地址
9 U& y1 i+ X$ C; ~% i& P执行
/ s- o4 p! D- T: B" Y: Y( Rcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True & O* n- ^7 l4 W$ k$ ]
最后需要重新启动iis
! f9 ~& g- L" J! @7 R0 N. H8 D6、如何解决HTTP500内部错误
/ b5 U& L" {' T4 T* X% piis http500内部错误大部分原因( d, n+ G) ], M5 Q
主要是由于iwam账号的密码不同步造成的。
/ ~# q' v$ U8 s. h o我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
& a: l+ r8 t+ U0 P3 n执行 5 I- ~1 m/ }+ w+ a F5 i9 O
cscript c:/inetpub/adminscripts/synciwam.vbs -v
9 V( D* @3 v+ ^1 p( t. A( F- N4 I9 P6 `+ X7、如何增强iis防御SYN Flood的能力
3 n, Q- w" b% r: G& H$ E7 FWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
) ]. G" W# R( ?( a8 p启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
9 ?' b4 k) Y4 a: n. [( X4 }"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。2 W# |$ ^7 l4 `5 m
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050, m* m: \& j7 h L) V
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
* `. X) R/ u0 _! |- V6 D" n6 \6 o/ o项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。5 U& O5 X% Z3 ^
微软站点安全推荐为2。! F" t9 U) p5 W; }4 U
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ; @) l. @; H% d2 {6 r. O
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 8 R( a2 |( ]1 } R/ z: j% D. D
"TcpMaxDataRetransmissions"=dword:00000003
+ `9 l0 T) Q0 ^" | y& @: K& W+ y设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
; \. {$ n; G! T! {7 Q* j& r7 n"TCPMaxPortsExhausted"=dword:00000005 ) i! {/ ? ?! y
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
& ~! o& {9 x# z4 F; A"DisableIPSourceRouting"=dword:0000002# ^. Q0 q; D6 @7 O4 m _3 C
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 r2 A7 [1 A8 q"TcpTimedWaitDelay"=dword:0000001e8 Q3 p. T5 U+ C! q! Q1 k# j
& k; L t: x+ @- l6 a' ]' s) v" k
8、如何避免*mdb文件被下载 v* _/ U' @1 i& e8 z3 N& F6 W
安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 _% y+ U$ d2 G! x1 V6 _同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ; |* P' v& p4 l9 s, c
9、如何让iis的最小ntfs权限运行
" a* W& J% R1 P9 c依次做下面的工作: ' [- Y8 F' q; r( x' _) K
a、选取整个硬盘: 1 x+ [3 G2 E* b3 h) K5 o
system:完全控制: x: L/ y; t4 Z4 \4 V9 B
administrator:完全控制
+ y, ]2 S0 F/ i: Y5 ^; M4 {9 n# O(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: ' E) a1 V+ @0 |$ X4 t+ c
everyone:读取及运行列出文件目录读取 ! |, @4 f0 w/ \ Z3 Y$ C
(允许将来自父系的可继承性权限传播给对象) , V. \! ?8 v7 |6 T+ H
c、/inetpub/wwwroot:
/ l z( H6 ~; ^; miusr_machine:读取及运行列出文件目录读取0 m) T5 f1 i1 z; ]% F
(允许将来自父系的可继承性权限传播给对象)& y" y- b5 q3 P. O( B+ [
e、/winnt/system32:
! k! a9 o! `% c选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 : x& i; ?2 V3 x% Q" L3 P
f、/winnt:
/ Y2 v; S) {+ |' }& e+ Z0 f! y+ w选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。; |# z a: s t
g、/winnt:
# y% S4 |5 ^ g3 I
" \- p9 Z; z+ G; g; ?everyone:读取及运行列出文件目录读取% k" q% I6 v v- `. g# N/ ~
(允许将来自父系的可继承性权限传播给对象)
: ~, E6 x9 V' |! I5 gh、/winnt/temp:(允许访问数据库并显示在asp页面上) 8 T' g9 R6 J0 P3 J
everyone:修改
) a! a$ G- V) @, L8 v$ ](允许将来自父系的可继承性权限传播给对象)
- X, |: C! k4 W* [6 _& y& ~4 }" N' B10、如何隐藏iis版本
3 d2 E& A5 u. W! v8 @) Y' }4 m( R一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
. F! m* E/ _# q; B- C9 ~# ]iis存放IIS BANNER的所对应的dll文件如下:: N% K# @) g" F7 C
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
4 X! u" V! {* J' B$ F' G" lFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL/ a$ H- I4 O8 s- \, q" ]
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
1 x3 P3 ^+ X) m0 u- M7 Y4 I你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
7 r5 Z/ F) L2 R; k具体过程如下:: F1 |% i: H# g/ ?% h7 c# B
1、停掉iis iisreset /stop 6 ^* h3 d3 F) W, p% T; ~5 m! N( x1 |
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
6 h& c9 K8 V2 T$ H5 w3、修改 |
|
发表于 2008-1-25 02:15
| 