|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
# N/ l& `. M) J修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
/ z. G- a. B& F0 D9 c9 T1 |- q2、如何防止asp木马
9 j0 f% j- p% z: X/ N/ s7 m基于FileSystemObject组件的asp木马 : @( l0 h, I4 o1 t+ I
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用( A% V% n+ v$ z& [8 p
regsvr32 scrrun.dll /u /s //删除
. m; m! ]8 E# ]" T1 A9 J8 h基于shell.application组件的asp木马
0 U+ y- t- g3 I. Wcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
! P2 L* u z% W: ~regsvr32 shell32.dll /u /s //删除 # T' }- @; m# L, I. L7 w1 ?) M
3、如何加密asp文件
9 B& E4 Z& P9 Q* X+ o2 q7 a' m从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
* f3 p1 c) e! @& R* j安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
. B9 ^( Q9 ? A$ z$ U2 k运行screnc - l vbscript source.asp destination.asp
4 k, M: U& s' h) y3 f" Y1 C生成包含密文ASP脚本的新文件destination.asp
6 B- f: K# J0 f: Q8 W' W7 p" e用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了9 R2 p7 ?( F8 V' a) o( v
但无法加密中文。; P- }; j+ b6 R
4、如何从IISLockdown中提取urlscan 7 G* {& o% p# x1 \. N6 r1 V& I1 h
iislockd.exe /q /c /t:c:/urlscan
6 c* K4 |# \! D, V1 V5、如何防止Content-Location标头暴露了web服务器的内部IP地址 ! g; m/ w- x; x1 L3 Z; q! `
执行
3 P3 b+ J2 e4 E1 Ncscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
0 p J V. a' B最后需要重新启动iis
k( X' X \ R6、如何解决HTTP500内部错误, k, A0 s/ N. o+ Z" H
iis http500内部错误大部分原因( f: K2 g; Z1 C4 I5 o$ ]/ | [+ n8 c
主要是由于iwam账号的密码不同步造成的。
" D# f I/ I& V1 t% s0 l- U5 e$ i我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
# B: l2 D' ^4 ]5 q) ?执行 ) ~) ?* o B5 w4 [) } p
cscript c:/inetpub/adminscripts/synciwam.vbs -v
4 p. M, t* j( M5 D/ |7、如何增强iis防御SYN Flood的能力
$ i8 u0 H, j8 yWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ?" F$ G0 [: Z1 X
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。+ @% G* l2 |2 Q+ U
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。+ D: v& z9 B2 X
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000509 k; N, ], w( {! ^
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ( f! w# j, q) l7 W5 f$ \) p
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
( N# Z" [% r$ j4 ~( v微软站点安全推荐为2。) G7 Z" @" {* e9 K- `: \
"TcpMaxConnectResponseRetransmissions"=dword:00000001 " z# r& E0 J' s; x0 }& W) R
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 # d4 G9 I( j- @0 p
"TcpMaxDataRetransmissions"=dword:00000003- ~: W! a2 M8 G( m7 D2 |& p
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。/ _7 r: T+ g9 i
"TCPMaxPortsExhausted"=dword:00000005 1 }. F' C2 H( {5 k5 B
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
' E* _- y5 r8 h- R"DisableIPSourceRouting"=dword:0000002& C3 ?) B* n6 x o8 ~, {3 T
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。5 f: k4 ]& b5 [+ j
"TcpTimedWaitDelay"=dword:0000001e
! F" g( ~+ o L1 @4 [* V6 z1 Y4 N* Z
: X$ Q- e9 K; e; N. }( P1 G8、如何避免*mdb文件被下载
( ]$ _% _/ _( P0 C% Q. @; L3 X, l9 f安装ms发布的urlscan工具,可以从根本上解决这个问题。
( e! |) @: D; T& V+ b8 S1 I u6 G; R同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 2 u) v1 ~1 ^4 U9 @
9、如何让iis的最小ntfs权限运行 ! M ^; `2 ]6 U% R3 g* a4 x
依次做下面的工作: * b1 z. h. z$ a, Z
a、选取整个硬盘: ) y* f+ C4 c' E( Y$ O6 S
system:完全控制1 X* ~5 x$ m- m/ Q+ `; U
administrator:完全控制
+ X: p" n) s' Z( d1 c- O" h(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
& v: ^7 l! e. \. }/ Severyone:读取及运行列出文件目录读取
. @6 G# D* }# L5 J) q" f(允许将来自父系的可继承性权限传播给对象)
/ h5 i4 z. F3 r7 d5 I9 q% B" w( J$ kc、/inetpub/wwwroot: ; x6 W. c2 m9 y: ^# w h2 Z
iusr_machine:读取及运行列出文件目录读取
. c- w, M! g3 C(允许将来自父系的可继承性权限传播给对象): q, P# [3 i. I
e、/winnt/system32:% `2 g7 K+ T9 p( ^
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 4 N5 `9 R+ k$ d% Z( U/ \1 ?( c
f、/winnt:
0 Z* f3 e4 w: r3 L选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。9 g2 Q% f# h& E2 v& ^& \* y! y
g、/winnt:
: j" t: B5 x. s % H. l/ b, H) H- L2 g2 W& f! Z
everyone:读取及运行列出文件目录读取
3 L3 |8 x+ ?) _4 n: p# e(允许将来自父系的可继承性权限传播给对象) 6 o, I m/ O3 S! r- i6 `4 Z
h、/winnt/temp:(允许访问数据库并显示在asp页面上) 5 N2 U0 ]' n5 t
everyone:修改 : p8 U3 `# {5 d. A& {7 {
(允许将来自父系的可继承性权限传播给对象)9 j" E+ u- Q6 i2 a; V
10、如何隐藏iis版本 4 w. |3 _8 E. z+ g0 ~
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
9 `3 c0 q) a( g: [iis存放IIS BANNER的所对应的dll文件如下:5 l) b$ I7 v. ^# f, e
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
4 {; p2 H* o' q" }+ [1 g+ KFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL: b# }- c, R3 D1 j# W2 [+ H8 O
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL / p7 ]: ?' ]: g( s% A. f
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
/ h ~2 P1 Y$ _! m f3 t8 W具体过程如下:! R7 h8 W. W1 z* r+ V8 Y
1、停掉iis iisreset /stop " Q6 m) E5 Q+ C9 S, N
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
- k( K$ W% e& r8 N( o0 W3、修改 |
|
发表于 2008-1-25 02:15
| 