|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14163
- 金币
- 2372
- 威望
- 1647
- 贡献
- 1320
|
1、如何让asp脚本以system权限运行
) B+ c' W9 W4 G' }% a修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... & m& S5 G- Z/ ?5 T
2、如何防止asp木马
, G5 M' j# Y- F1 E8 e基于FileSystemObject组件的asp木马
( H% B+ Q+ h: ycacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用7 h4 O+ D$ M: p# G0 L) {7 O) ]5 D
regsvr32 scrrun.dll /u /s //删除) G" ^3 F9 }1 |! u* I# h8 ]
基于shell.application组件的asp木马0 W6 P# i. ?- V8 P; M( g6 @
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
+ q, @; A9 n* a* |% hregsvr32 shell32.dll /u /s //删除
7 L; ^7 r" J6 ~" A. M0 u4 h3 d3、如何加密asp文件
/ M9 Y: F6 d2 R从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 1 E! e; r; t; k' {
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ b$ D4 C2 l$ h7 w运行screnc - l vbscript source.asp destination.asp: f7 q' D* P: G' @2 g$ O+ C( H
生成包含密文ASP脚本的新文件destination.asp
7 K( S3 H5 |- Y- |用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了* l x6 O% F$ G$ T: R) N9 H
但无法加密中文。
) U3 c, E6 v* w# ]: s4、如何从IISLockdown中提取urlscan
5 @% @1 O& n$ t6 [, liislockd.exe /q /c /t:c:/urlscan2 s9 O- d, x; }) j7 s: k6 D
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
( m8 T4 V8 e& h( o7 t' L* l: \执行 ' V; x( G: L ~; y
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 4 f4 s/ G0 R- S/ X
最后需要重新启动iis 2 e! s- U7 p8 [3 d9 n% o* I
6、如何解决HTTP500内部错误
8 ^. e# h& t9 ^* {" A" G7 G2 t2 fiis http500内部错误大部分原因5 L7 Y, a! r6 `3 J- b+ S n7 g
主要是由于iwam账号的密码不同步造成的。& E, k) H6 i3 k( c8 ]+ y* w7 _
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
6 ?& N# o" W: p7 a8 F6 f执行
1 h2 g2 K5 B* r C/ X9 w kcscript c:/inetpub/adminscripts/synciwam.vbs -v6 \, Z, U/ [' j* H
7、如何增强iis防御SYN Flood的能力
$ d3 S" O/ q0 d- ]( |Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] % q- F2 @3 O0 D/ F( h3 R
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。0 A( ~/ H" Y+ O1 g$ @5 b
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
/ n& W; F. D4 w( ?9 P0 Z$ ~"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050! e+ ]8 a1 Z5 f! C F5 @( X
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
7 W; u5 V n: T! m! t E项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。* K$ ]: A4 N% X* U
微软站点安全推荐为2。; p( R. W' ^; V; q" w
"TcpMaxConnectResponseRetransmissions"=dword:00000001 . }. |8 z& I9 R+ q
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- U8 q2 G8 F) b, Q- V"TcpMaxDataRetransmissions"=dword:00000003
1 Q" j: D' }8 a# Y% p# h; p设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。5 e8 S, M8 F5 A1 h# N6 V% M! o+ K
"TCPMaxPortsExhausted"=dword:00000005
, r8 n2 N+ r# a; k6 \ J禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ; D- p4 y: V/ p |$ g# d1 F$ l
"DisableIPSourceRouting"=dword:0000002/ j! |9 A/ B, t1 v! F0 N2 O
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
; S c% ^4 v5 V8 ^% o. e: o5 j"TcpTimedWaitDelay"=dword:0000001e
& G5 }- M2 t- h- A$ k, P; b, ?" I' O6 m D# l- u' e
8、如何避免*mdb文件被下载* S+ \) h4 O5 I
安装ms发布的urlscan工具,可以从根本上解决这个问题。5 }+ S, G+ Z+ A& _" g# J
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 / V) u7 k2 i* x5 c% p
9、如何让iis的最小ntfs权限运行 + p+ N3 f$ b. k' m# [, j
依次做下面的工作:
4 F+ F$ q. b+ b" L x& _3 |* L5 s: Aa、选取整个硬盘:
7 K, x: }4 E* ~" B# x) Ksystem:完全控制" T5 ^5 e6 D+ ~% j" o! p# m5 d& z
administrator:完全控制
2 m! Q$ e, i2 u! |4 n$ g(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: + R+ H8 P, [3 @. c- l- P
everyone:读取及运行列出文件目录读取
* e1 a& E4 v1 E2 e. T) q* r7 V(允许将来自父系的可继承性权限传播给对象) ' N4 i( {7 X4 V& y, K$ o& l x
c、/inetpub/wwwroot:
3 O ^$ k& k3 C/ Kiusr_machine:读取及运行列出文件目录读取
! F* F/ [$ S" V8 M$ Z(允许将来自父系的可继承性权限传播给对象)' _" E' I8 j/ x) ^& @8 f. G- ^
e、/winnt/system32:
+ u R. E9 V$ q9 ?6 ?8 c& G选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: y) v. m, B5 z8 l- wf、/winnt:
% m0 {2 F) s/ R$ {0 F9 h选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。: y" k+ Z. ^0 i
g、/winnt:
7 l1 g1 Z6 C" G& B; ^ & p/ I2 ?' n/ l0 w2 d# A
everyone:读取及运行列出文件目录读取
& t2 g3 M. a8 B" i4 k) K(允许将来自父系的可继承性权限传播给对象)
9 r' v8 ?5 ^0 v3 {7 l/ mh、/winnt/temp:(允许访问数据库并显示在asp页面上)
4 D8 h) W( S/ t, c! reveryone:修改
- y8 R! r; z5 X2 B# ]6 P(允许将来自父系的可继承性权限传播给对象)5 o7 D. t4 z! \0 `, Y) {
10、如何隐藏iis版本 / g9 b; a- F: N# d
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 8 d, k* K! n+ j6 \6 L
iis存放IIS BANNER的所对应的dll文件如下:
" k N& e9 @$ u" C$ w* T% d7 q0 v) uWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
5 X! C' y6 z1 b4 h5 }1 r5 M, XFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL; H( d6 V( }* y' f e- c- g
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
) l2 C" u0 V/ P. c! N9 Z. `: d x J你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
! ?6 E% F2 c+ D2 }1 t3 E具体过程如下:
) o8 x: `- N; i$ `3 y6 B8 t! o1、停掉iis iisreset /stop
3 a. L4 U( @/ v2 {+ R# d3 H2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件1 N3 ?4 h& `+ h
3、修改 |
|
发表于 2008-1-25 02:15
| 