|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行6 } G- z5 V' @. X) o
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 6 e. N# t# ]# U
2、如何防止asp木马 + x5 G+ G- m/ e2 b' f
基于FileSystemObject组件的asp木马
9 i$ h8 f9 Q5 m0 P qcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
3 c/ N* b8 T+ E- Y6 ~% c wregsvr32 scrrun.dll /u /s //删除, g- Q" x+ w4 z! L
基于shell.application组件的asp木马
: l! a* \& C3 }' E- G6 `cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 , U1 ?- _2 @" D5 O
regsvr32 shell32.dll /u /s //删除 . L1 F% ~ q; t+ y3 t `
3、如何加密asp文件
* r ], r( M& H, n/ l: c从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ' l* E5 a/ f/ c- v
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。* P8 A# \$ \" d) q. q; s# p
运行screnc - l vbscript source.asp destination.asp
# B4 ~' J: n/ U7 e+ {4 U生成包含密文ASP脚本的新文件destination.asp
9 g/ w+ f$ H! n( r1 h5 Z用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了0 ^# L0 p$ [- [3 M% F6 `& l. m3 @9 }
但无法加密中文。
6 e; Z$ {( c% E% {: @ p4、如何从IISLockdown中提取urlscan
6 z/ O* r4 ^% q3 Wiislockd.exe /q /c /t:c:/urlscan
9 G! Q3 u/ g+ V' w5、如何防止Content-Location标头暴露了web服务器的内部IP地址 ' h3 |$ r7 J7 I J' x
执行 ' b" C' X& h/ q- h! O, z6 _; w
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True ' k$ ?4 P L3 Q/ ^( }' {
最后需要重新启动iis
; _$ {6 T' I. k3 _: s: E( g5 H6、如何解决HTTP500内部错误
9 J' @$ o2 z, U9 r5 tiis http500内部错误大部分原因- C1 ]2 ~/ }4 P5 y% ^
主要是由于iwam账号的密码不同步造成的。4 N/ H- I$ j% @
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。! j- I: b5 `3 ?1 y) u8 K, u" U
执行
. {( l% O" K0 ]" Y% g) ~4 i$ t) Pcscript c:/inetpub/adminscripts/synciwam.vbs -v2 ^" L* R \, [3 p R2 q) W+ Q0 M
7、如何增强iis防御SYN Flood的能力
9 @7 Z& K& r8 n7 w; j% NWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
& L2 F' _6 t1 j. {3 K2 z启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。7 r5 s0 q6 U5 ]; ^- v0 N0 y
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。( z$ H4 d+ |" Z( @+ M
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050; e4 G/ ?" d* s- e, G. i7 u
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
2 z3 c, Y& n! {& G* g. e+ a项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
' s. T' K) e! J7 y6 X6 R& z! P1 E微软站点安全推荐为2。
2 O, L& R2 M8 A"TcpMaxConnectResponseRetransmissions"=dword:00000001
* U; u! y- t& k$ e设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
9 \; B, c* ]- _1 g5 L9 T"TcpMaxDataRetransmissions"=dword:000000034 p" U# }" I5 V$ F8 `. \
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
- z1 o' U0 |- f. e4 L"TCPMaxPortsExhausted"=dword:00000005
8 e6 C7 v4 i- s+ B7 f禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
{3 u- G( H4 ?"DisableIPSourceRouting"=dword:00000024 v, ~( I8 |: u* H/ }& s- O4 P
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。" V0 m: I. s7 x. p+ M7 d
"TcpTimedWaitDelay"=dword:0000001e$ C( H% g! H2 |, Z' R3 D
' E4 E+ i& S+ I2 @7 L8、如何避免*mdb文件被下载
/ O t2 x0 x) k安装ms发布的urlscan工具,可以从根本上解决这个问题。
# `) f$ B9 T: `; L: H/ f9 u同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 & N" `4 R4 R% o$ I ^. @
9、如何让iis的最小ntfs权限运行 5 m( t# f# U! H
依次做下面的工作:
# d+ B( O7 e1 q! w- }* wa、选取整个硬盘: 6 U, V; G* @1 q: L0 d
system:完全控制. q I+ F2 \: |$ W1 }, K0 X
administrator:完全控制
! e2 C- O6 I* _8 f(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
2 i9 R+ i3 o3 p, B1 Z9 C; ~everyone:读取及运行列出文件目录读取 % ~8 q# T2 @! r4 C! q) V2 S
(允许将来自父系的可继承性权限传播给对象)
: h# y4 a. n$ i3 ec、/inetpub/wwwroot: ! A) w8 C1 @0 K" n- ]
iusr_machine:读取及运行列出文件目录读取
$ U) ^! i. F8 n8 L4 G( h(允许将来自父系的可继承性权限传播给对象)2 c+ U$ L! ]8 h& {% S2 }2 v
e、/winnt/system32:# F b" n' T: d" {9 ^
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 1 L. S7 e: B/ v, }- Q
f、/winnt: ; b) A7 S% }2 l* Q \+ B. _9 q! [
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- Y: z/ p- ^. d' {' g7 @
g、/winnt:
7 z$ ?( X7 E' S) L2 I1 I7 H
' M# l! ^* ]) U2 ]- Neveryone:读取及运行列出文件目录读取
' z' s' s* D. ~- o! {8 O! O(允许将来自父系的可继承性权限传播给对象)
% Y0 C1 z' Q+ Ch、/winnt/temp:(允许访问数据库并显示在asp页面上)
& O4 j( D6 f& Y1 Z+ f: W9 [) zeveryone:修改
) u$ a+ y% r/ a) G3 \(允许将来自父系的可继承性权限传播给对象)
: v, s1 C6 `5 m4 l, H' D10、如何隐藏iis版本 7 S. M# D. {8 x% H J# e
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 5 `$ I- J9 T, J# m5 L x# }% ]
iis存放IIS BANNER的所对应的dll文件如下:. F6 e9 @9 t4 }9 g) \* f
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
- I0 `6 l0 w4 K' U& l L9 ^; W$ T1 \' HFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
1 K- {0 @7 Q, l) I! J* a' h$ t: fSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
$ Q0 U0 G5 `0 S你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
9 p6 e! ~0 \- `' X8 e9 D具体过程如下:" k. ]& P" T; z) c2 L ` k
1、停掉iis iisreset /stop
' a5 S7 l6 ~1 M1 X$ u2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
. v/ @* x' U5 y) O9 w) `. a3、修改 |
|
发表于 2008-1-25 02:15
| 