|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14161
- 金币
- 2371
- 威望
- 1647
- 贡献
- 1319
|
1、如何让asp脚本以system权限运行 r) |% a& Q# N2 ~- }7 q/ v
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
9 l% m: B, U9 P' d6 h) ]2、如何防止asp木马 . @ Z6 q. k8 h. ] f- m+ b% _
基于FileSystemObject组件的asp木马
8 v4 g7 ]' p |- D1 V3 lcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
7 l( Y8 w' I2 v) i" A7 Cregsvr32 scrrun.dll /u /s //删除
4 g5 x3 t( S$ k基于shell.application组件的asp木马! a% R+ ^' q& g/ E% ?
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 * d0 _3 P6 a% M5 U( {3 ^3 V/ `) s+ A* p
regsvr32 shell32.dll /u /s //删除 : K" o* P) x. @/ ~( K$ e% R
3、如何加密asp文件 4 Y+ n9 ~9 K. j! I! Y2 ?
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
7 B9 w* U; G9 r安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。* @' L" S& \9 a' B
运行screnc - l vbscript source.asp destination.asp% q* Q' w1 y% ^5 X+ @# w' F
生成包含密文ASP脚本的新文件destination.asp
, m' d- u* P& f: q& T: Z: B用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( @ ?5 B" w% Q/ T但无法加密中文。7 b& _! w$ [- N+ R! Z' U) Z
4、如何从IISLockdown中提取urlscan
9 G8 J' g+ O$ _4 uiislockd.exe /q /c /t:c:/urlscan* ~3 ^$ C6 G. s* l
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 8 u# N5 c y4 e6 y+ s% f1 h' z
执行
" c5 P A5 i' k) N+ ~8 icscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True . l" {1 k. _9 m9 |2 b1 Q1 [, x+ |
最后需要重新启动iis
Y7 L L6 T) m6、如何解决HTTP500内部错误( Q U5 N( p- W4 v; q1 v7 x& V
iis http500内部错误大部分原因8 s6 y- x2 F7 a4 y( S3 q: p/ _
主要是由于iwam账号的密码不同步造成的。" C1 s& k2 L$ l. }: ^
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
. b! Y, n R0 p% k9 r; E9 @执行 ' F# o' ?6 H5 s0 {! t4 \
cscript c:/inetpub/adminscripts/synciwam.vbs -v
9 e% o# |* f) o J, Z8 X7、如何增强iis防御SYN Flood的能力2 ^# P6 g' J; f4 e+ H. a
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
% t$ x( a0 _1 v启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
+ R" m0 @; h, G8 \"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
& r S% x* O/ n( h* ?"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000509 q/ _7 b+ `2 m2 t: V
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 . O* l0 e) E6 Q" Q5 E* ^8 K
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。. f+ N! N" s5 s% M
微软站点安全推荐为2。
: U( E7 ?% m6 I- m"TcpMaxConnectResponseRetransmissions"=dword:00000001
) s; l# L3 Y- ^设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 7 s2 |/ ^. Z7 y
"TcpMaxDataRetransmissions"=dword:00000003
7 E& X' @2 g @4 s) v设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。6 e, W1 _1 h# y) R/ r; k6 K
"TCPMaxPortsExhausted"=dword:00000005
9 W; F+ }7 ^2 p+ ?禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 " i2 V+ p H& K0 P; X5 y
"DisableIPSourceRouting"=dword:0000002
, E6 p) D6 U, l限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 n5 _5 m0 ~6 Z$ R3 Y3 n ?3 Q
"TcpTimedWaitDelay"=dword:0000001e
3 d: H) A2 f- b+ G7 h0 _- k* Y a) A- Y4 H) P2 A+ |
8、如何避免*mdb文件被下载& Z! g& p B1 n/ Q
安装ms发布的urlscan工具,可以从根本上解决这个问题。' v ]& a2 @5 F0 b9 R- b* X
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
6 Q, j, d- v+ a& p; E4 T9、如何让iis的最小ntfs权限运行
; ?5 f* y- L) u2 [ F9 V依次做下面的工作: 6 ^* N, U4 w h* \2 h. P! A8 V
a、选取整个硬盘:
) _) c% l3 ~2 P. |! y% bsystem:完全控制# c- ? T& i8 n9 _' j W
administrator:完全控制- i; a% g" T) h% T0 z) a1 ~
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: % g2 ]" V& u' J# s
everyone:读取及运行列出文件目录读取 : `. u! ?" T, l2 K& @5 |% O
(允许将来自父系的可继承性权限传播给对象) : ^, l4 P- I8 w
c、/inetpub/wwwroot: 5 F8 z0 q N7 n& a; B5 b
iusr_machine:读取及运行列出文件目录读取
# {4 z+ d! R/ E6 X4 @(允许将来自父系的可继承性权限传播给对象)
, n- s \! N% U& T9 C& B. i) Qe、/winnt/system32:" u+ D# F% b3 L1 e
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 p3 ?3 s6 O2 x6 t8 w. Pf、/winnt:
+ a4 f" p$ y+ X1 ]: J选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。8 w+ j2 C" c/ r/ U# g4 b, L3 R1 S
g、/winnt:* X. |* D( S( Z9 M# C2 d d+ Z4 E
4 g y6 v. R$ w$ |! N. b% keveryone:读取及运行列出文件目录读取% l% J( i. X& `3 x7 L: B
(允许将来自父系的可继承性权限传播给对象)
% T$ p2 M8 t" ~3 L; L# ?4 P9 \h、/winnt/temp:(允许访问数据库并显示在asp页面上)
# {" q; p. i( T. m- Ueveryone:修改 3 J: I' M" `! U0 {) ?/ ?
(允许将来自父系的可继承性权限传播给对象)) {, H0 T- e) c5 Q8 V4 ], b
10、如何隐藏iis版本 " V9 i1 K5 I7 Y* C7 U( k* E: k7 E
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
& c# ~0 P3 Y/ J4 |+ r/ C, ~iis存放IIS BANNER的所对应的dll文件如下:1 c0 L: t9 Q A* a$ l
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 8 r: r+ w5 \3 _8 Q. _% T: R6 Q) a
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL4 e1 n+ Z; f4 A8 }4 ~; y- t
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
8 e1 |* l- D! `; |6 Z8 R" a C你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
4 I; g" y# ]4 W具体过程如下:
0 u, \4 c( T" R1 n+ f1 I5 l1、停掉iis iisreset /stop ) c6 K. a* X* `* H
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
; H& O( N0 \+ w" m \; x3、修改 |
|
发表于 2008-1-25 02:15
| 