|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行0 v8 \2 H; s& j3 |! m% w* ]
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! f" ]% C: I! o$ }# `7 Y& o2、如何防止asp木马 # @7 r3 h/ M# y: M8 _+ r
基于FileSystemObject组件的asp木马
% y8 ]4 C5 s. s& \; b1 pcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用1 s7 R; e: {8 x
regsvr32 scrrun.dll /u /s //删除( {3 |. F$ b% q, }. ?3 W9 B
基于shell.application组件的asp木马9 J! V( a& [4 Z$ |5 l3 e
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 1 M" c' T+ t3 w/ L+ Z: v) ~: l
regsvr32 shell32.dll /u /s //删除
# K" O% P) F' q4 X, G8 e, r, ?3、如何加密asp文件 B( u6 O) g8 } d* o
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 5 Z/ v, e8 P8 ^. }- N, ]( P# \
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。, s: q Z. j: B6 d) R
运行screnc - l vbscript source.asp destination.asp
- F1 D3 E) S' I; Y2 c3 W生成包含密文ASP脚本的新文件destination.asp
5 G6 V: T5 c8 i7 l- {, G9 d' ^6 t" J用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了- x6 O- \, J- f* }- E
但无法加密中文。, e) A2 @/ I" R8 Q& g R
4、如何从IISLockdown中提取urlscan : f$ B( ]5 E8 J0 N) b; Q) E
iislockd.exe /q /c /t:c:/urlscan
/ J3 k7 V9 ~) t5、如何防止Content-Location标头暴露了web服务器的内部IP地址 $ O5 m0 D1 r/ g2 J) P
执行 z2 [$ I& P% f3 q" [6 w* ?# R
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True : D4 D: n3 w) D. T2 V: R
最后需要重新启动iis
: G+ R7 ^1 r) T7 A: Z6、如何解决HTTP500内部错误1 e$ c2 N/ \, u
iis http500内部错误大部分原因
- y! O f5 |, x3 m$ | f, l0 Z主要是由于iwam账号的密码不同步造成的。2 _; r! v' u. G
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。; I) H, ^# [6 N3 p& ^
执行 1 z% Q! D V# S3 s9 o
cscript c:/inetpub/adminscripts/synciwam.vbs -v
6 t/ h; C' K) e: C' L; Y: }% Z7、如何增强iis防御SYN Flood的能力9 z* t. P) X9 D0 B
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
; l7 U3 ?8 g, P, `3 F: t; T2 f启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。* P- T% ^8 N$ R$ O! A
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
5 l) k! U: h) w) A8 K* j9 F- V4 k"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000502 Y" t; K# L9 s9 t) ]
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
0 P( W) G9 L' u项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 b, e( a& g5 m微软站点安全推荐为2。
: W- w8 C+ c* P2 D/ B5 A"TcpMaxConnectResponseRetransmissions"=dword:00000001 % x, F" V& N7 j: M
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
. f& F0 ], N4 q# _5 u"TcpMaxDataRetransmissions"=dword:00000003! Y0 Z6 @& [4 g9 J! P
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。9 u0 l9 g1 U# d: E6 g
"TCPMaxPortsExhausted"=dword:00000005
0 @0 C! t1 l/ q- w" u禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 * j9 j" t9 d: b. ^3 E/ N C6 }
"DisableIPSourceRouting"=dword:0000002
* G' ], V5 F( J3 Q0 y4 n2 L限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。: e$ x9 M' i6 A" `& G2 x3 I
"TcpTimedWaitDelay"=dword:0000001e' K! O( @$ F- V9 ^6 U8 ^8 v
$ t1 g: w) Z, ?/ e' E8、如何避免*mdb文件被下载
- N5 n. }; @/ J" I5 b' j/ C1 f安装ms发布的urlscan工具,可以从根本上解决这个问题。
6 I4 H1 P; X& }% M" w同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 5 _& E5 O5 A2 J0 q
9、如何让iis的最小ntfs权限运行 ' X6 D b) w w4 P, j
依次做下面的工作:
@, B& G2 x' z# P( f: [+ f- M6 Fa、选取整个硬盘:
# Y4 {0 S3 m9 Osystem:完全控制0 b7 x- y5 E% ]* U, I+ D
administrator:完全控制
" }) v5 @/ Q: D6 Y(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
) | Y$ q9 }- q' A9 B3 F' @everyone:读取及运行列出文件目录读取 # W* i6 _5 U |* m, ~, W0 o
(允许将来自父系的可继承性权限传播给对象) ! e' P' C/ \. X
c、/inetpub/wwwroot: 4 {9 t4 d( q- g# m- i
iusr_machine:读取及运行列出文件目录读取' ~! d* O1 e2 t: u8 e- x
(允许将来自父系的可继承性权限传播给对象)
) S0 V4 V$ x0 a6 r. Ye、/winnt/system32:
! U. M- t& \: [3 @6 t3 X选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * d1 p/ p4 k+ `8 x% o+ e
f、/winnt:
" |. V. m" m# R$ y2 B" A2 H3 }选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 L6 b! B" E6 J6 Zg、/winnt:
" l1 M x! W- |2 H+ b 7 Y1 y* ^! t' ~: K
everyone:读取及运行列出文件目录读取
1 v9 {# y4 I3 s A4 C! b7 U(允许将来自父系的可继承性权限传播给对象) # B( S O9 B: O( ?4 d% R' |4 x
h、/winnt/temp:(允许访问数据库并显示在asp页面上) / z: s* G- Y" @3 N' F4 J
everyone:修改 - J8 Z5 F/ u6 o9 V: q+ D
(允许将来自父系的可继承性权限传播给对象)& w/ V& M7 v& y+ L* z9 n6 S
10、如何隐藏iis版本
! M/ ?) R( x# v$ J4 ]; n$ S. ~4 o. @一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
. e- ~7 w) b$ _+ j. ~iis存放IIS BANNER的所对应的dll文件如下:4 Y: f# `. o2 Q! C1 n
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
% U* l9 q5 t$ ?FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
4 J( B$ N/ [. i* F$ ~6 @! n0 TSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL . }9 A3 H' B4 ^$ Y! f& L
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 2 m& K S! N2 _
具体过程如下:% ?. y* E& ?, @' P" L$ o7 T0 `! S
1、停掉iis iisreset /stop
7 [7 ?1 r/ j9 `6 C2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
% M! w0 d0 f' f# `0 u2 Z) N3、修改 |
|
发表于 2008-1-25 02:15
| 