|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14191
- 金币
- 2386
- 威望
- 1647
- 贡献
- 1334
|
1、如何让asp脚本以system权限运行) N t; p' b+ _# e
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ) g5 {: n' u$ H- I- B2 v6 y
2、如何防止asp木马
% a( @5 {; j. I3 \; n基于FileSystemObject组件的asp木马 + X$ W2 m& V! a& A/ {
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用1 l/ ]$ E9 E7 T4 E+ P/ n/ L
regsvr32 scrrun.dll /u /s //删除
$ J/ {: g0 U' x# ~0 ]基于shell.application组件的asp木马5 v( a# s0 E" U; `) F
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 9 W ^! b; K: X- D' b/ r7 L
regsvr32 shell32.dll /u /s //删除
# {8 }! W+ g5 M5 V+ u' U2 [3、如何加密asp文件
; @1 G3 e% \6 U& Y! P) a* j从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 # N2 y: h0 {7 h( @# W1 P
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
* \0 @" v3 Y$ }" t2 q运行screnc - l vbscript source.asp destination.asp) \) k% A4 W a% A0 \* R
生成包含密文ASP脚本的新文件destination.asp
/ A5 E6 F. [5 s用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了) V: e& p. N2 N4 e% B0 I
但无法加密中文。
: ?8 I1 g( t: ?# N! p3 U4、如何从IISLockdown中提取urlscan 7 y1 N/ N. T: z0 c1 E7 Q2 p
iislockd.exe /q /c /t:c:/urlscan5 C0 r" ?/ g. T8 C+ `" @
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
" [2 X% N2 ?; C; @ J8 b执行
5 p# F; O \3 s) C5 W2 Bcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
+ v ?( v1 w& q! K9 G8 j6 O) s) K6 \最后需要重新启动iis
5 k3 e: P0 {; V6、如何解决HTTP500内部错误
8 j6 Z; O& c _: Liis http500内部错误大部分原因
( N5 y. f# H5 z0 @& B8 [0 j# k主要是由于iwam账号的密码不同步造成的。
7 n: C) p/ K# O" Q我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
% g' J& c; _6 K7 |执行 % Y( |$ @' g. d! k- e. R9 ]/ D
cscript c:/inetpub/adminscripts/synciwam.vbs -v
) ?' Y. Y9 ]' _% R2 T x8 g8 s7、如何增强iis防御SYN Flood的能力( l. y8 X' F4 `& ` S
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] . i5 D% t% s, X+ t4 [6 n4 t
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。5 ^8 G- x% j; A+ p
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
) u/ T! M( C9 R+ E( Z"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050: i! H) N5 c+ P& N
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 + @3 G9 H! q7 z1 S' E; C
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。& M# W9 r" G6 @+ `
微软站点安全推荐为2。; V" V* P- Y; M: @ U# m) [
"TcpMaxConnectResponseRetransmissions"=dword:00000001
1 U* |! O8 K$ N8 U6 J$ J设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 * X4 E+ E6 C& K1 @1 v
"TcpMaxDataRetransmissions"=dword:000000038 G, f u# R0 q) O5 L
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。6 Z4 ^8 N j) K; @. f A+ Z8 [
"TCPMaxPortsExhausted"=dword:00000005
( @/ s: f7 y: ?禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
& q3 V2 @ I( ?* ]; c \"DisableIPSourceRouting"=dword:0000002
: x- ~1 p* Y2 d限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。, y. Z8 A9 J4 O/ ^4 D' C& t
"TcpTimedWaitDelay"=dword:0000001e
4 ^: s- `1 E' b
6 ?, S. J8 H4 c; z c+ P I8、如何避免*mdb文件被下载& w: d& @. J( h3 q. @1 z) ?1 ]
安装ms发布的urlscan工具,可以从根本上解决这个问题。& Y. f4 u. x4 n( ~ j7 ~# k' o
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 7 Q/ L( ^! a+ x
9、如何让iis的最小ntfs权限运行 + p: P0 H- A9 o
依次做下面的工作: 9 e" m6 x9 ~+ i) ~0 m2 S
a、选取整个硬盘: 7 N1 t. n8 r: T2 ~ [
system:完全控制
9 h& k' a9 R; o- |4 R7 `5 L2 fadministrator:完全控制: R. N- W F, Q5 h
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: [8 Z; ^" d, Y1 g( `8 D( P9 A
everyone:读取及运行列出文件目录读取 8 W, _/ [ _. {6 t- {
(允许将来自父系的可继承性权限传播给对象)
7 b$ u9 R4 P" Y/ \% ^c、/inetpub/wwwroot: ! w% G3 g. R; O4 S4 R3 }3 w
iusr_machine:读取及运行列出文件目录读取
- o, X4 Z8 h8 f" i+ t! V% |(允许将来自父系的可继承性权限传播给对象)% C' h4 E! q0 m; O- j e, O9 ~$ ?8 p
e、/winnt/system32:
' ]% X+ K; I( r* e0 o选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - Z+ v/ I$ h) K5 ^+ y9 D
f、/winnt:
4 Y# p# @6 }; K; P选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ [2 y6 e, @/ `( ^8 i+ w% `g、/winnt:
$ k/ u) d @; h9 q 0 X4 ~ E3 U$ y3 N: P( J, V
everyone:读取及运行列出文件目录读取/ Z6 X3 Q, Y% f1 i8 c3 Y
(允许将来自父系的可继承性权限传播给对象)
+ ~! L) \9 `& g, Eh、/winnt/temp:(允许访问数据库并显示在asp页面上)
8 i) |$ F5 s# M& D* eeveryone:修改
/ w' Q: y! w2 W; U' R% c; u(允许将来自父系的可继承性权限传播给对象)7 n( t1 {! y+ e- _7 H
10、如何隐藏iis版本 u( r% c7 b& }! L$ A
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 2 S2 w s% C8 U) f0 x7 a ?
iis存放IIS BANNER的所对应的dll文件如下:
. e! ^5 X' X/ W+ sWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
) }7 h# U2 a% n6 X; VFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
0 @. ]/ w# x5 L) W+ jSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL q% l% X7 W) t8 k9 _( _- i" [
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
4 x7 a9 h q1 b3 { V1 D具体过程如下:% }, s# h8 G+ b' z; o
1、停掉iis iisreset /stop
. x- @# @+ x. E* \, M* V. T/ f2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件. C) G; P% X7 b5 w h! k4 x6 R& P# w
3、修改 |
|
发表于 2008-1-25 02:15
| 