|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行- x% [! N" T4 z) |, g2 g4 {
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... , |7 o i6 J4 |/ a, {
2、如何防止asp木马
8 \& K) o# G1 y8 D7 i基于FileSystemObject组件的asp木马 " e Z& ?" W; U2 L& K
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
% h+ H, ^+ Z, U" i& P" K" Y2 a+ dregsvr32 scrrun.dll /u /s //删除0 O9 F, u x$ }
基于shell.application组件的asp木马
7 D$ ?8 O5 w: e" u6 F% d; Hcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ) g6 @+ h6 i- l1 `" q8 N Z
regsvr32 shell32.dll /u /s //删除
0 O3 i1 O. T6 o. L8 [5 \3、如何加密asp文件
1 Q' P2 s, i" @6 I9 G从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 5 x6 D* K1 V" L9 U& n1 O
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- M' u* B) L2 B2 b9 t& F8 l8 ^; {运行screnc - l vbscript source.asp destination.asp
0 D9 c& z. g; c生成包含密文ASP脚本的新文件destination.asp/ ]* Y& S1 M$ i2 p1 ^
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
3 r; P1 ?4 ?* u- Y7 r' w2 u* a但无法加密中文。$ ?+ m- e2 }$ W) P! p' ^
4、如何从IISLockdown中提取urlscan
, h- y, C9 `+ Qiislockd.exe /q /c /t:c:/urlscan) ?: ]2 H, K: G. c6 r2 e/ `; r3 i
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
* U* J! E* e- T' ]执行 ' h5 @: [. u2 \1 r* C: ]
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
: Q" m" X9 x3 W1 p最后需要重新启动iis
/ q- m9 v8 q- u- R3 Q6、如何解决HTTP500内部错误
4 H( N0 P* o! ~6 _, e( n8 Eiis http500内部错误大部分原因; Z8 D% z6 A* c8 ], w2 S' ?
主要是由于iwam账号的密码不同步造成的。
9 f7 T, t7 L# q* {& L& ~5 C2 G我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。# ^1 A6 k/ p' Q) b0 p& K \
执行 3 ?8 c# L9 d( C' K( L) S$ ?
cscript c:/inetpub/adminscripts/synciwam.vbs -v: A2 w4 |( z& g$ C, `
7、如何增强iis防御SYN Flood的能力
! y) _# p4 @7 O: o2 X2 u. B0 cWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 0 E! C. v) r1 o4 }. |( F5 `
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
5 X- l& k4 n4 |: U0 Y7 E) H+ @"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
0 N, k' b- Y% P& @0 {6 Q"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050$ F; L/ Q# m$ i3 i6 V
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
_5 x4 s1 b# d0 Z3 w: v: Q9 T项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。" m) D+ M z8 s
微软站点安全推荐为2。( Q% F( t/ p! F5 j1 E4 b
"TcpMaxConnectResponseRetransmissions"=dword:00000001 + P n( n8 ?# i5 Z7 V- X1 v3 @
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 8 D4 U( x5 X! r& Y
"TcpMaxDataRetransmissions"=dword:00000003
& d- \5 T# q9 U+ `设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。4 m5 n" U0 l3 e- P' h) {' K
"TCPMaxPortsExhausted"=dword:00000005
! b5 H7 X, c5 ]' _禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
* K% t9 _* |- u2 `"DisableIPSourceRouting"=dword:00000022 V6 ]% q$ v/ T/ X
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
+ y6 f+ D7 f3 k: e"TcpTimedWaitDelay"=dword:0000001e
2 \7 _0 y$ L! Z: R
2 ]" i# O) {; B8 H4 g8 c7 I8、如何避免*mdb文件被下载+ l( E, m. w% T @
安装ms发布的urlscan工具,可以从根本上解决这个问题。- P( e5 }1 }. Q' T/ Q* y! R+ X
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
/ ?6 K) k% c9 j) z- w9、如何让iis的最小ntfs权限运行 - v7 U# |0 H/ S5 R2 O' C3 y/ ]0 B
依次做下面的工作: r; x% o. h: R. c5 T9 M" \4 K
a、选取整个硬盘: 3 j4 L$ S! D8 C; N. b
system:完全控制
. E- u9 F3 }! G8 z& `administrator:完全控制: `8 F' Y% h% X C: g
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
- y6 |( r- J. {5 y- ~everyone:读取及运行列出文件目录读取
8 P" X9 E. z. @8 n(允许将来自父系的可继承性权限传播给对象) # A( o. `$ R; D. c* I8 b/ U
c、/inetpub/wwwroot:
* r0 `0 \$ E2 Q/ | R$ @+ Z1 `iusr_machine:读取及运行列出文件目录读取
% d: n- W9 [0 [(允许将来自父系的可继承性权限传播给对象)' \2 |& F2 l2 p$ N- k# d
e、/winnt/system32:0 ~! Y0 p$ p- t. J/ c; Q
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 2 Z3 v+ i% @0 V; L6 g: k
f、/winnt:
/ i% A$ _: M- u选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* x/ a# G2 |; t. {g、/winnt:9 |5 K V- D$ H' s5 n; [% ~
$ g* m, y8 S$ i8 d% G. @1 d
everyone:读取及运行列出文件目录读取5 b: q5 U- s7 ^
(允许将来自父系的可继承性权限传播给对象) ! G0 Y! _6 x1 [7 {
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
/ B9 g3 O5 {& @ b; }$ s4 g& Ieveryone:修改
5 k5 S% G }) g(允许将来自父系的可继承性权限传播给对象)+ s: o k$ A* s W
10、如何隐藏iis版本 3 a+ U1 d, T6 t8 X/ }
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 + c U- I$ f9 a
iis存放IIS BANNER的所对应的dll文件如下:
) w, B7 o7 O' V( x6 cWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL # y a# N% r9 l8 S8 O
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL% R$ r+ d$ B4 `; m* Q8 \! X" P
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
Y7 S/ _7 k4 w* G& m! Z你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 " e) R, L* B! r; @+ J# C% A
具体过程如下:. {, ]4 _' K6 E# I( h/ q0 b% Y5 U/ F8 q
1、停掉iis iisreset /stop + G+ U7 b$ X8 U7 l+ I( h \! s9 T
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
, R5 B% k$ [1 x E: t" C3、修改 |
|
发表于 2008-1-25 02:15
| 