|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行
# l, l; o% c5 l8 l/ v# }修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... + H) N$ g' F0 I+ ^2 c8 R
2、如何防止asp木马 . G: ] S" [8 L3 ?7 j4 S
基于FileSystemObject组件的asp木马 * I5 b+ k/ J) q2 y2 s. R! [ D
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用/ r( r( e: P; g. ^
regsvr32 scrrun.dll /u /s //删除
4 {5 ?% k" Z6 _8 f基于shell.application组件的asp木马
) d2 G" i; T0 q$ v0 j% Tcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 9 d P! r, y) u. ]$ \
regsvr32 shell32.dll /u /s //删除
1 w3 R8 v% l2 P7 s+ R/ ?8 A3 d+ d3、如何加密asp文件 , c0 ?" A: _9 |! e- o
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ W" v+ i( Q {* Y安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。% P5 \" e- B9 ^3 Y: L" N# C+ b6 ~
运行screnc - l vbscript source.asp destination.asp
5 }" \9 Z, J0 q4 b生成包含密文ASP脚本的新文件destination.asp
[/ {2 e1 `) c- ^' y用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
- `- G/ v7 G- l1 b/ s' u但无法加密中文。
2 f7 g, Z1 I3 V) ^4、如何从IISLockdown中提取urlscan # F" [$ O |0 r- f
iislockd.exe /q /c /t:c:/urlscan: w; J. u0 s( r7 M
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
W& r1 O- r" M6 e执行 0 w3 `; L2 t2 j2 `3 |, n
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
2 G! v( W7 l4 Z% p最后需要重新启动iis
( S+ ^) T- C- l/ l8 V3 l [. o6、如何解决HTTP500内部错误
" Q4 B, F5 ?: c' }7 o5 fiis http500内部错误大部分原因
8 I* s5 {& Q/ k1 ]5 x主要是由于iwam账号的密码不同步造成的。
1 M6 T* v( p" i我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
, W9 o, O) S. m) o$ X; _执行 : k, R. R8 n5 w
cscript c:/inetpub/adminscripts/synciwam.vbs -v4 ], T x, }: x
7、如何增强iis防御SYN Flood的能力' u1 X6 o6 E } j% ?0 Y
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
0 A# s: R$ o- d: {& r( ]启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。: S+ s0 E7 b0 F# F
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。* G. J+ k$ @: C7 P9 v# r9 w8 ~, v
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050: A' E" p) `. C' f( D
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ r, L7 T. C; o7 }- J项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。& K8 v7 e7 N( w& V8 ^
微软站点安全推荐为2。) A8 A9 t1 k/ o9 u& X$ y/ Z
"TcpMaxConnectResponseRetransmissions"=dword:00000001
6 N# s. w5 r. n设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ) V( ~% g, W- G
"TcpMaxDataRetransmissions"=dword:00000003. X. I8 \" I, u! }) D- N# _
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。9 N9 v2 N; w- w3 r' F2 r
"TCPMaxPortsExhausted"=dword:00000005
2 x9 u3 U$ g ]% h禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 & U( G4 j$ U' K0 r9 w3 s$ Q6 u
"DisableIPSourceRouting"=dword:00000025 E' g9 B. Q# ?+ H
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。* t5 H6 n, [7 f( P( k: r
"TcpTimedWaitDelay"=dword:0000001e9 ^9 d6 A' r+ A- z! T4 z. \0 t6 {
m; {* ? I3 x& G, w
8、如何避免*mdb文件被下载: j0 X1 ], l$ p j+ Y& R
安装ms发布的urlscan工具,可以从根本上解决这个问题。
" O% [/ s) U$ O同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
* G! W8 ^) u0 R8 H7 `# N8 T/ L: I9、如何让iis的最小ntfs权限运行 ' ]& ]/ N6 h3 r! I7 S
依次做下面的工作: g, q: t+ z$ b* c
a、选取整个硬盘: * A/ D) i3 F. J
system:完全控制5 w( i% y3 j( D6 D+ s0 X
administrator:完全控制0 f4 p4 {% q+ t( Q3 l0 T
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 9 m! k0 Y0 N' k# p
everyone:读取及运行列出文件目录读取 7 ^/ P Y) |- r" O& t
(允许将来自父系的可继承性权限传播给对象) # S- Q. Z1 U7 d) o
c、/inetpub/wwwroot: / r' Q! A C5 M% y+ o
iusr_machine:读取及运行列出文件目录读取
$ k+ y" g& M+ t$ `; W(允许将来自父系的可继承性权限传播给对象)
% S* ?7 i* F7 p) }6 d8 ee、/winnt/system32:3 K3 \" u/ `# ~- R6 s! x
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 / k( n T" {' B, L- Q
f、/winnt: / h2 }) Y+ u6 M+ ?" |. e
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 P; J3 g/ |4 z( G; @
g、/winnt:7 b: p2 m# c `% {0 R- f0 w
5 z. b6 @( ^5 |
everyone:读取及运行列出文件目录读取
8 I5 p; ]# ~. d1 R4 r* k! L1 Y(允许将来自父系的可继承性权限传播给对象)
5 y% ~% A7 n8 vh、/winnt/temp:(允许访问数据库并显示在asp页面上)
. g# `* G* h; c7 jeveryone:修改
0 S5 g. R4 q' a2 u4 ](允许将来自父系的可继承性权限传播给对象); g1 B. I) R1 H& v4 `5 D( z
10、如何隐藏iis版本 7 z" o; B& W$ t4 R9 A( H
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
% K9 p. r' x( uiis存放IIS BANNER的所对应的dll文件如下:1 l- ?* u, |6 H0 ~
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
7 W8 b7 h. v+ oFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
4 n+ w; r' y6 f3 Q+ HSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL * @9 ~0 `5 s3 T8 _, l8 X
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 7 E% K+ T$ ~4 ?
具体过程如下: y7 F' s, G$ W$ [
1、停掉iis iisreset /stop * p3 \* Z. G5 f7 [ ?
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件4 A7 h2 \, `+ u- x6 M' m
3、修改 |
|
发表于 2008-1-25 02:15
| 