|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14161
- 金币
- 2371
- 威望
- 1647
- 贡献
- 1319
|
1、如何让asp脚本以system权限运行1 v2 Y7 P7 V% U0 l5 E
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
9 I5 N# i9 J, s0 l2、如何防止asp木马
! w1 m b& }" N7 j/ j8 H+ j9 R基于FileSystemObject组件的asp木马 ; U+ E8 M! S' V3 w& |% c$ l
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用9 p! N" M2 ^' W
regsvr32 scrrun.dll /u /s //删除
5 Q3 ?5 f; j, L9 R4 |" {基于shell.application组件的asp木马- {+ q) m$ N# I; I) u6 t8 |
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
& a2 I' U$ g( {/ n8 b' ]/ cregsvr32 shell32.dll /u /s //删除
6 {( w9 D* }' } y" n3、如何加密asp文件 , e) z% c& f, Q2 G F
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ) M: y# f. r& W' u$ @
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
* r3 t1 q* B( t1 m5 ^运行screnc - l vbscript source.asp destination.asp
- y5 r( m3 w. |# j% \0 [生成包含密文ASP脚本的新文件destination.asp. g4 `6 a, k, O
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了0 W( M( a# \1 f. ]0 X |
但无法加密中文。
- B* c% u" J" L( U( H1 v! A4、如何从IISLockdown中提取urlscan & u7 ^! O- `& i1 b( O! Y ]( u2 U% D
iislockd.exe /q /c /t:c:/urlscan
/ b; n" L) N: L- _; L8 L5、如何防止Content-Location标头暴露了web服务器的内部IP地址
6 H6 @& j( N3 E8 ~* _执行
% ~9 \; ^# [3 |cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
5 b5 ~* A. j5 E最后需要重新启动iis
2 W4 c( Q0 g$ S& c$ j" z9 e6、如何解决HTTP500内部错误( S& ?- H6 s0 d9 [' V7 ^4 Z
iis http500内部错误大部分原因/ L: q9 ^& {3 t" a. D
主要是由于iwam账号的密码不同步造成的。1 Y! K* O0 T& |/ q* M
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。/ q0 o! S% N0 V6 i5 |4 o8 U
执行
9 ~: m5 F3 } m8 k) h1 Ucscript c:/inetpub/adminscripts/synciwam.vbs -v
2 H% L' H5 H! K" [6 W) l7、如何增强iis防御SYN Flood的能力
1 ]1 S' B" I: Q4 \Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] + V0 e/ }% Y. O. c
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。/ z$ A1 I' A8 w7 V+ A: J
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
' Z* @: B( }7 {9 ["TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
- g, M! v8 x- ~3 x2 I+ o设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
) p2 z( W) x( D8 h5 ^6 q项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 W" m9 c' `9 ~* `& g4 K3 a. L+ F微软站点安全推荐为2。
, ]) D c5 x: _* u6 w# x"TcpMaxConnectResponseRetransmissions"=dword:00000001
% `- f4 x7 m8 s" R3 k% J6 @7 q% N设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
* r) L) E0 g6 Y9 X"TcpMaxDataRetransmissions"=dword:00000003+ E. q+ h& E X, o2 O
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 ]& \3 O3 f% s% D8 l"TCPMaxPortsExhausted"=dword:00000005 ' x: K: T( Z6 I
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 # r8 K6 _* Z" J7 w! R: Q' k S. C
"DisableIPSourceRouting"=dword:0000002. z3 t! `. V6 O- N" r. Y+ k
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。( K* O' ^9 q$ l9 v7 `4 N
"TcpTimedWaitDelay"=dword:0000001e4 p3 d9 ?+ n! a' A( H
" g% z# i, k$ r6 [8 u* P0 u& y8、如何避免*mdb文件被下载; K" P# @' R% r
安装ms发布的urlscan工具,可以从根本上解决这个问题。9 d9 Z' t( c3 B, ^
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 1 T v) u# U9 `2 e4 ^, O" _, I. s6 w
9、如何让iis的最小ntfs权限运行 * d4 F( }( Y/ d& Y) {
依次做下面的工作:
5 R0 r% C8 @4 A/ }, Q- `a、选取整个硬盘: ( S6 z$ Q; S2 O; h2 u) m5 P% F
system:完全控制
) ]4 U. b1 O! H Fadministrator:完全控制8 s }( n& y/ ^$ w" i X
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 9 P: V) m1 p/ Q; J
everyone:读取及运行列出文件目录读取 k( U; S" @& z7 C. K: p2 A
(允许将来自父系的可继承性权限传播给对象)
8 b9 |5 R9 ^7 W) Tc、/inetpub/wwwroot:
- w$ u; J. m& p$ g/ xiusr_machine:读取及运行列出文件目录读取
# q! p* M6 _% F5 k9 i a- E' o(允许将来自父系的可继承性权限传播给对象)
6 X k: J# s; ] j+ }e、/winnt/system32:
% u5 d) B( u2 M1 |' ~6 J选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 + a5 z' }0 F3 F+ y/ f
f、/winnt:
. Y" W2 y* o& j5 B- c, j% r+ W选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。+ W6 @7 h" C7 U
g、/winnt:. H3 Z, z1 I; Z1 i% z8 L; Q
/ ^" I$ Q1 q* ?; K( U' [everyone:读取及运行列出文件目录读取; k/ O; d+ ?4 G* {2 N" {" j
(允许将来自父系的可继承性权限传播给对象)
; s, h$ v6 q( e1 G5 H1 n: L" Yh、/winnt/temp:(允许访问数据库并显示在asp页面上)
! Y K& n& W7 Y+ d' u* X& xeveryone:修改 / e, C0 G0 ]8 C2 i& @+ |# }
(允许将来自父系的可继承性权限传播给对象)
0 s' @2 E8 x8 ~1 c10、如何隐藏iis版本
+ Y2 \4 q+ W4 r% F% j: H2 l一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
l% g7 M3 J3 j& u. riis存放IIS BANNER的所对应的dll文件如下:+ Q2 r* @0 v. M7 b" [- s7 H, t
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
( c/ l; E+ q) p- nFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL2 o0 ?$ E$ C l$ d' F! {# I8 R
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
4 T: b" [" `& }3 L* f2 R! f# R6 N; k你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
2 N* Q6 p2 O/ E; R& t2 J2 e具体过程如下:' v7 i& i4 v5 Q4 t( b1 j
1、停掉iis iisreset /stop ' O0 c B' F- g3 M: n
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件9 y6 O5 Q% u5 T. _. b/ i# e
3、修改 |
|
发表于 2008-1-25 02:15
| 