|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14163
- 金币
- 2372
- 威望
- 1647
- 贡献
- 1320
|
1、如何让asp脚本以system权限运行: R: }7 h: I5 l6 O; }
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... # x0 E, s+ U4 J2 w c4 ]
2、如何防止asp木马 ( p8 F$ r3 i# x2 A0 H
基于FileSystemObject组件的asp木马 6 D9 _2 h7 x/ R$ I! @$ n
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用* o) {. i& x* b! u9 N6 [0 V
regsvr32 scrrun.dll /u /s //删除
) D/ ?3 t- u* i% K! @" ]& \基于shell.application组件的asp木马
5 S/ E+ ]1 n) m* X6 }6 a2 A+ icacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ' b# [ I* D6 |0 F" f
regsvr32 shell32.dll /u /s //删除
5 M/ H) C- z* }3 t6 d# x3、如何加密asp文件 & s/ ~' k9 i& D. B1 j
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
9 E: w3 P* E" N9 V# B安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
; c% o' R4 D5 d运行screnc - l vbscript source.asp destination.asp! s( y/ q V. \0 f6 H
生成包含密文ASP脚本的新文件destination.asp( F# X' y" e% a
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
% X) x' I( G, j+ o3 ~( e但无法加密中文。
! E7 _! N* B3 x) e4、如何从IISLockdown中提取urlscan
8 U1 u$ _6 F, e% Xiislockd.exe /q /c /t:c:/urlscan# g6 x; U0 T; W8 _9 v x5 \: {
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 $ J# f t" N2 H" b/ r e+ r
执行
0 w. g* v8 x" R* v4 T) j( b' Z0 `cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True - o% ^8 @9 E5 R7 a1 n: ?
最后需要重新启动iis
! U6 C4 ~# F$ E _" f! s, _) p6、如何解决HTTP500内部错误
6 D: h6 Z9 c# W+ q8 \( g7 Ziis http500内部错误大部分原因( k, H! j# z# i9 g5 w& |6 ~- D( n
主要是由于iwam账号的密码不同步造成的。$ S- A8 V! z! @" \2 a. U. b
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。. c: O8 ~% }; g; w" H0 Z
执行 ; ]" {$ G! L, Q; X
cscript c:/inetpub/adminscripts/synciwam.vbs -v
, h" T* B; n0 u/ G! Z7、如何增强iis防御SYN Flood的能力
5 T6 \1 N+ i9 k3 gWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
, _" w- S3 F4 ^/ O I启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。( Y: X% l/ \9 G; ?. r/ a9 B: U
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。+ M P3 a" R9 q) S5 P; }' O+ Y7 K
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
4 l0 F. Z+ P F7 @& B5 Q设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
# Q: f7 E# ?. f3 ]& c s" V# F项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
3 q( h, I5 ?8 P+ i微软站点安全推荐为2。
4 P/ d# S' ?8 G" C& Z" j: B"TcpMaxConnectResponseRetransmissions"=dword:00000001
) O' Q5 T( c* s' q' n5 H. D设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
2 _. f& u% m/ n+ x: X0 _"TcpMaxDataRetransmissions"=dword:00000003% L, m3 G- b" Y# P5 S
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。5 a) C' c# y. r5 e2 b& F
"TCPMaxPortsExhausted"=dword:00000005 0 S: o4 |4 X5 g4 l7 a0 [
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
% B# x- G# `$ N3 N( _" |, ]"DisableIPSourceRouting"=dword:0000002
/ N m$ Y+ ~- p限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
3 `( h% c/ L# W3 Y5 y Z"TcpTimedWaitDelay"=dword:0000001e6 E9 Y0 T- f l( x: J, K$ S8 n
+ s, c1 F3 x" D6 W
8、如何避免*mdb文件被下载) z7 R( F/ C) t) Y- p6 _: N
安装ms发布的urlscan工具,可以从根本上解决这个问题。" H7 D6 ?: l' ?. y
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 4 g9 w3 ~- x" X# X
9、如何让iis的最小ntfs权限运行 * a$ i4 @* G5 d3 [* @: c
依次做下面的工作:
' ^6 K. Q% i9 q9 |4 f( t1 ga、选取整个硬盘: T8 I. f) z5 J. ~& ~, q- x
system:完全控制
4 @, K0 f: h7 Fadministrator:完全控制
" d5 w* w1 x8 l* X6 R; Q# i(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
: ] Q9 c( e _+ }, t7 Beveryone:读取及运行列出文件目录读取
: h/ D* Y3 F( Z. Y( F% k1 I$ _0 j! O5 l(允许将来自父系的可继承性权限传播给对象) . O5 [( r0 n9 A4 y
c、/inetpub/wwwroot: 8 z3 O7 }8 F5 H/ `, W: A
iusr_machine:读取及运行列出文件目录读取
5 s& z$ k2 D& @+ c6 s: ](允许将来自父系的可继承性权限传播给对象)
& w+ K$ K$ E0 {. B$ se、/winnt/system32:
! N: P6 G% _' A4 T5 u选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ' R/ Y0 t% B' w4 l# L
f、/winnt: + N) f, b& D6 @" z2 h$ ~
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 U* k; T' L! D6 y* t tg、/winnt:( o, f9 A6 V; C; |% G& {' l
x R/ `3 F; U1 U d. ~everyone:读取及运行列出文件目录读取7 d# f% C1 S1 S& G% x5 B+ |. H6 k. I
(允许将来自父系的可继承性权限传播给对象)
4 f6 K. ?) k( P q/ R4 ~. th、/winnt/temp:(允许访问数据库并显示在asp页面上)
9 y) h% \% D. E ieveryone:修改 + x1 ^) M3 n( f0 U
(允许将来自父系的可继承性权限传播给对象)) ~, d$ \) n' T2 x4 F9 a. |
10、如何隐藏iis版本 9 s" u9 K1 r' f3 O L
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ a6 o& i0 @5 M! S5 W/ R. U( X$ _: Viis存放IIS BANNER的所对应的dll文件如下:
1 C; g3 L0 c" C, I* w) C$ j0 ~- m/ {WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ( }6 _+ w% m1 Y4 x, z
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL# K$ J: p! d0 O5 m2 G
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 3 O6 f3 B8 y1 w0 m) n4 ?
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
) m3 U2 k% `) y# p4 s具体过程如下:
5 v& z0 u/ I6 N, K t: D1、停掉iis iisreset /stop
! @. \% z' i3 L0 Z2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件 e$ _$ V# p0 S! Z" g& w* ~
3、修改 |
|
发表于 2008-1-25 02:15
| 