|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行
, A. y- o& U5 ~; E% D; j修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
/ v5 Y$ C' _. e* U2、如何防止asp木马
l8 x; J; C0 U: Z( b' U基于FileSystemObject组件的asp木马
2 q, ?; V1 S1 J- _5 ~4 a2 {cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用* m; n/ @6 c. q/ Z' n0 q
regsvr32 scrrun.dll /u /s //删除
* ~* E% y! T5 p' v8 ^" ^ B基于shell.application组件的asp木马
0 Q! y, @7 b; ?# |$ F4 vcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
. X( T/ g2 \2 O$ K1 S8 \regsvr32 shell32.dll /u /s //删除
# S% x6 w8 P V/ W7 o3、如何加密asp文件 9 U0 X: j0 M3 v9 V* ?
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 $ X6 U0 e% _. l0 T0 j- | r
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。: ]% ~8 v/ U; f o1 ]! B+ J1 d" t3 n
运行screnc - l vbscript source.asp destination.asp1 o, v( e4 s! t2 q7 K8 V
生成包含密文ASP脚本的新文件destination.asp1 Z5 d: J+ K8 o# ^; v
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了+ U. y# X3 F# N, z: @5 l1 r
但无法加密中文。
, x8 n" }, G3 T* d% i) |# G4、如何从IISLockdown中提取urlscan " P% s) m' J& z5 t
iislockd.exe /q /c /t:c:/urlscan
8 t; v$ @5 Q& ^8 T3 A7 ?5、如何防止Content-Location标头暴露了web服务器的内部IP地址 9 d$ R9 [& v; ]+ ?; x
执行 + x3 V, D4 x6 |$ H3 C
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True * a2 |5 w8 N9 ~0 K
最后需要重新启动iis
2 U. N4 R6 O7 N' U- |# N* ~; i* z6、如何解决HTTP500内部错误
. o# i2 G/ K; R0 q% Y' I* Niis http500内部错误大部分原因% j x% s4 A5 `7 ~2 E$ U
主要是由于iwam账号的密码不同步造成的。
6 V9 d& W v3 W( ^0 L- n2 G% [我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。" I5 V9 `* Z8 A9 T9 o! t
执行
4 N7 e( `! {( E/ Y, {8 _( H( pcscript c:/inetpub/adminscripts/synciwam.vbs -v' G& f0 v1 w' X) Z; `
7、如何增强iis防御SYN Flood的能力( y' `* X3 N3 Q' n% u
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] % |' ^! E+ e! z! j3 W2 ]4 e7 e4 A& g
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。' ^- M, f5 }9 |+ L5 ?$ _2 n2 o0 q
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。. t; N; {7 x; B8 H; g0 R) W
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
8 v3 h& q5 `# I设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
; s5 [8 f- u% [; I4 o项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
4 B! M6 M4 g; B$ [+ g! S3 ?4 I微软站点安全推荐为2。
1 v+ S- c& ]; |& W6 G1 t- ]* ~"TcpMaxConnectResponseRetransmissions"=dword:00000001
+ _5 A) \' P$ q b& D- \设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
9 _& L/ n. c4 a K, L"TcpMaxDataRetransmissions"=dword:000000037 r3 Q( X( K* H
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。. z% o" f3 `0 |+ K) L
"TCPMaxPortsExhausted"=dword:00000005 5 X- m+ F& _+ T# r1 ~" }
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 7 A) T" U/ k* H s
"DisableIPSourceRouting"=dword:0000002
6 @1 n0 a+ e+ U3 |0 v& M限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
; R# f8 I* J4 w. \"TcpTimedWaitDelay"=dword:0000001e; V3 j) w4 o3 Y' R3 M8 V
( w) f. U+ @8 |6 d) R( E8、如何避免*mdb文件被下载
! M( u" b6 ^! _1 ~安装ms发布的urlscan工具,可以从根本上解决这个问题。 m5 f. K. o) P* V7 {1 z# R; s
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 5 @/ E5 E/ _+ \/ d+ g6 Y
9、如何让iis的最小ntfs权限运行 ( _9 M/ ~) A: O. N& [! q
依次做下面的工作:
K- \ R* ^) ~/ @. i0 N6 [a、选取整个硬盘: ( d S- ^7 |/ e: r+ ^- |
system:完全控制3 t+ B+ `$ A* ]% E+ N& S0 y
administrator:完全控制* y& P) g; v8 c1 I) l$ [( c- J
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
3 {: u& Z3 L1 Y. _& T% D: xeveryone:读取及运行列出文件目录读取 * ?% `7 X3 B8 L0 n% V$ i4 l
(允许将来自父系的可继承性权限传播给对象)
: Y5 F( y4 v0 A; q8 i8 N$ mc、/inetpub/wwwroot:
( Q! T/ c( w7 {iusr_machine:读取及运行列出文件目录读取
* D/ I" _& A" ](允许将来自父系的可继承性权限传播给对象)
H& R) A6 h# J/ h8 g, Ue、/winnt/system32:
& G0 K( N7 v+ _6 r3 `选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 Q0 @# c" v4 S8 Ef、/winnt: - \' v+ V4 l& v; `0 e; k0 w) ^
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。: d! F2 d" P8 Q, c3 }' z
g、/winnt: k5 u. G7 v+ b( B2 n/ ?6 S ]. S& m
6 u! k& H( J4 X$ leveryone:读取及运行列出文件目录读取
$ i4 }3 c) A2 ]7 C' y$ p(允许将来自父系的可继承性权限传播给对象) + e0 z1 G5 T- ^. T2 c! {0 q y2 H
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
Q( |$ q& }$ b2 T- x9 weveryone:修改 a1 b0 S3 Z d1 R9 o- z
(允许将来自父系的可继承性权限传播给对象)' G3 L3 N/ ^1 W; N0 w; q
10、如何隐藏iis版本 : i$ Z7 ?' J1 V( s# v. O7 |! c1 N
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
. q; i" A: n8 i6 |( J( h! E7 biis存放IIS BANNER的所对应的dll文件如下:5 A; d+ U& a! I" D
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
1 a' c2 v2 O( [+ @FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
, ^# T8 C+ @6 r2 x: ~& F! PSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 7 ?9 U2 q0 c# W; j$ P
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# K! Y* ~; S' O具体过程如下:
9 v6 u P( W# x2 {8 h/ l2 w1、停掉iis iisreset /stop
* I, {+ K l! L9 Z. {9 E3 a2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
& p6 V- N) g. s( A# k2 h2 r3、修改 |
|
发表于 2008-1-25 02:15
| 