|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14191
- 金币
- 2386
- 威望
- 1647
- 贡献
- 1334
|
1、如何让asp脚本以system权限运行
# t- |+ x: |2 j" i. I修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... % C3 w4 F& G+ I' E1 E! O
2、如何防止asp木马 - I7 h4 F% o, {% h4 o
基于FileSystemObject组件的asp木马 ' l4 U) o/ k/ l0 Y/ ~
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用6 D& D2 d# k& z9 d
regsvr32 scrrun.dll /u /s //删除
0 o* o& y# x2 G& \+ g6 F7 y基于shell.application组件的asp木马4 T! o! r; G& L; j; D
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
, V4 W" {+ Y7 G! |- Fregsvr32 shell32.dll /u /s //删除 2 u* u. K. }5 D$ c0 W
3、如何加密asp文件
8 {) B% i! S) L q+ d8 S从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ t* R' G R" D0 k4 O: x安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
' |; u9 t3 @5 X& Y V+ _& E运行screnc - l vbscript source.asp destination.asp3 H+ @* ]/ P1 K' v
生成包含密文ASP脚本的新文件destination.asp" m6 ?2 R4 V; z- f" `
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
: A6 P: W, L, a9 [3 w) a但无法加密中文。
& a- U- y8 Q( Y N+ C8 X4、如何从IISLockdown中提取urlscan " s% N: Z2 r+ D7 ^4 H6 Y: m# a, w
iislockd.exe /q /c /t:c:/urlscan; v: ~- W4 W" @# p. r( S
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 8 g0 P$ f# z8 Y( y: c2 L! E
执行 . R+ N6 H$ h0 \ g
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
0 Q" I% r7 G7 z* L! F3 `* \& C最后需要重新启动iis ! d( L( z/ \2 S) F" S- b! ], Q
6、如何解决HTTP500内部错误
; X5 D% ?. |* A1 xiis http500内部错误大部分原因
m' V' s! n2 b' ]* m主要是由于iwam账号的密码不同步造成的。
, |* c3 l) q7 f* g0 i6 {我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。/ ^$ s( S, v4 _' G4 x+ d3 b% ~ i
执行 ) L- E+ f7 d( m2 h6 J; B
cscript c:/inetpub/adminscripts/synciwam.vbs -v+ _6 G2 C( r) B& F* m
7、如何增强iis防御SYN Flood的能力% y1 n1 p- W( h" M' f
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
0 d9 p, O1 A0 S2 J1 c启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
/ ?9 L- M, K. g3 ?- a+ J"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
" m' c0 z# x/ X, o, e"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050# A' J9 ]! ^. `* k+ \* u' Z
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
k) r5 N- T/ q5 R% ~0 p项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
4 L* t0 n) ~7 y/ S, m8 }! J微软站点安全推荐为2。! S) K0 i& @! z$ O: t
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ) M& ], b/ M$ a/ i& ~& W# z/ O
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
" t; x1 p/ b1 y2 R$ M$ E" n" q"TcpMaxDataRetransmissions"=dword:00000003
k/ W( @5 z2 m ^+ W% V6 X, K设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。0 n7 D7 c, q! O: U) ~0 Q
"TCPMaxPortsExhausted"=dword:00000005 3 e9 W4 s# |2 w4 B! }( J, m. m
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 * ` ]9 ~* c& Y/ }" D; Z
"DisableIPSourceRouting"=dword:00000029 `4 e# m, j- p3 ?- d$ v, P
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
$ m+ ~8 z6 k8 N9 y4 }: }, k6 w"TcpTimedWaitDelay"=dword:0000001e
2 q" r$ f$ g- Z& T A" h
. a3 `8 ?" r+ N5 [ n; P" b8、如何避免*mdb文件被下载
7 N4 X+ w* g2 t1 I# [" n r安装ms发布的urlscan工具,可以从根本上解决这个问题。: P. o- P5 A5 a) c
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ! p6 A/ |8 D/ P5 r; {" |; W
9、如何让iis的最小ntfs权限运行
( y1 o* ~2 v* W# Y3 a$ Q依次做下面的工作: , A+ T; B7 L$ W- H
a、选取整个硬盘: 0 h7 [5 \0 E, p# s. |+ `; d
system:完全控制: V, B- s, k9 v8 X
administrator:完全控制
. j5 b! J) b, ?5 |6 n$ f(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 5 {; O- n% F, t) s* |! n
everyone:读取及运行列出文件目录读取
/ \3 k7 ]$ y! |1 J- B(允许将来自父系的可继承性权限传播给对象) ; U$ U# }0 R4 ]- ~/ F- \
c、/inetpub/wwwroot:
+ K3 A* A! w9 v% i: ]7 M+ ]: k5 ?iusr_machine:读取及运行列出文件目录读取! N) Q' ~/ j0 x' |" ]
(允许将来自父系的可继承性权限传播给对象): t2 C* K( S$ H% K9 R5 ~
e、/winnt/system32:0 {0 C; Q7 [# C+ M/ L' s
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * ^' T ?! @5 X9 D/ G; k; M
f、/winnt: & @$ D6 F* w# | y
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。4 p' K3 R3 n' ]2 y1 n
g、/winnt:& m9 m! X, n0 Y- d
. j* n" r3 j& Q$ g9 y% F- {; g+ B
everyone:读取及运行列出文件目录读取
& x& C! q" K% Q" S9 h) a+ g5 P(允许将来自父系的可继承性权限传播给对象) - p( I" b, i- R! \; Z- x; |
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
9 I! `& i5 D6 z3 u; a; V+ k9 qeveryone:修改 & V5 m& s5 R: F' @7 H
(允许将来自父系的可继承性权限传播给对象)
v& f) t8 W8 g/ T" h- p: x* E10、如何隐藏iis版本
* s* d' l5 t4 z$ }& `) X' s一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
% R: r, ]' }# w& ~' M3 ?% i; _iis存放IIS BANNER的所对应的dll文件如下:* v4 c7 S. n* u: y6 G& h$ G- F4 p
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
0 f) q3 b; t9 s: Y. vFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% o* L) ~" Q4 T7 Z8 ASMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL / f8 J' c+ D1 u2 Z
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
& H( c) e6 @, M* w% Q+ K具体过程如下:( n# p8 H4 |: E p! T, B, L
1、停掉iis iisreset /stop
) _3 [; m) n/ e) f% d2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件+ V" ?. s- K$ R# i' r
3、修改 |
|
发表于 2008-1-25 02:15
| 