|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行$ N) m2 O$ i7 K2 E( u) u0 e: X
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 6 Q0 \- f2 Q' V1 I
2、如何防止asp木马
& U R, L1 A2 V; |" Z基于FileSystemObject组件的asp木马 8 m! g( A4 m% N* F6 D0 Y0 {
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
! c: f" c% R) `+ ~/ @7 P/ e0 {regsvr32 scrrun.dll /u /s //删除
& m5 G( o- h3 c+ `7 Y基于shell.application组件的asp木马
( D8 f$ B2 V' o4 ~# h, V5 O8 Icacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 I, i# }% N6 n* S3 t' N' x
regsvr32 shell32.dll /u /s //删除
: f! Q9 _$ b. C% p3、如何加密asp文件 $ V# L8 `7 q( x& Z( ]; @' N, R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
+ w# t B2 F3 A( w安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。' c) a; w* @* H9 v4 r5 Z
运行screnc - l vbscript source.asp destination.asp6 v$ T8 L4 ?# |+ H( @* |
生成包含密文ASP脚本的新文件destination.asp
) o4 x7 ]; T! ?; ?/ s用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了8 j' d/ |8 b9 Y5 j# i* ^
但无法加密中文。
, M( x' {$ e. V1 p4、如何从IISLockdown中提取urlscan
$ a& y( @7 j6 siislockd.exe /q /c /t:c:/urlscan
3 d: y+ y4 I3 C# G5、如何防止Content-Location标头暴露了web服务器的内部IP地址
. V' a1 }, k+ A( d8 J9 H执行 0 J) H$ S. ~3 U* w
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
) m: Q% z! D/ }4 x- `6 e! E6 u5 K最后需要重新启动iis
& \+ A. y1 y8 u }6、如何解决HTTP500内部错误
4 f+ N6 Y% r3 ?iis http500内部错误大部分原因
0 V# M; X6 T, ^" D+ G3 e- N# |: ]主要是由于iwam账号的密码不同步造成的。8 V3 D9 Z v* E- J
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 ~6 l! I- _& G- g执行 ! l2 X' V1 P7 W+ A- c4 G e; H
cscript c:/inetpub/adminscripts/synciwam.vbs -v
% F7 z. J5 Y8 o- ?, r# D7、如何增强iis防御SYN Flood的能力
& U, z: D7 l$ U# h6 v( x" wWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ( j; J N5 C7 k, h9 g9 T
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
! q. u- P) F# s: Q"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
. v0 c1 p7 |' o. p. O9 C"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
* t" U" t6 C7 _; k/ h$ F/ P设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 : ^1 y/ Y3 c1 b% k: f3 i
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。4 U+ Q- r5 |, M6 @- ~. ^- {
微软站点安全推荐为2。5 z* y; B( I% z0 n) J; Y9 N, o
"TcpMaxConnectResponseRetransmissions"=dword:00000001 2 G/ U/ K& A' A! q& r: Y8 m
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
: B3 X3 s. ?; W; |' R"TcpMaxDataRetransmissions"=dword:00000003
r3 k8 s. T. x+ u. C5 x) _设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 M( Z k" x1 Q"TCPMaxPortsExhausted"=dword:00000005
+ L5 R! U9 n4 v. t禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
4 T6 [' h2 v2 w9 {"DisableIPSourceRouting"=dword:0000002# g* E7 M" [ i7 V# \3 d
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
, ^2 h/ g" S, s: Y% j$ ^"TcpTimedWaitDelay"=dword:0000001e
) Q0 N: F3 i7 r4 E8 I+ ]/ L0 ^
8 v* ^7 W. n) {4 l8、如何避免*mdb文件被下载
3 g) Q0 s5 V! M0 y) [: I0 X安装ms发布的urlscan工具,可以从根本上解决这个问题。
8 Q v9 M7 F( o; s4 B' Q同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
: A" O- Y! i. i& B% L3 n- O) T# R9、如何让iis的最小ntfs权限运行 & d$ H5 x( }# u9 L* j, c4 B. p( f1 L
依次做下面的工作: u6 m1 E8 ^* v4 } i
a、选取整个硬盘: & M5 t6 V- k, ~4 ]6 ^
system:完全控制
- c5 Q' R0 Y) b, ~" m4 Vadministrator:完全控制
) K; |4 m; g B) H! I# V$ G(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
% f a5 S- }" Q* Veveryone:读取及运行列出文件目录读取
! X' E/ j3 X( w/ S2 }(允许将来自父系的可继承性权限传播给对象)
) V" i; [: A. ^+ c1 S8 I6 B) F6 i( @c、/inetpub/wwwroot: - q: Z: [1 D' F3 R& s
iusr_machine:读取及运行列出文件目录读取
7 `8 j; J5 K l7 _5 }9 c(允许将来自父系的可继承性权限传播给对象)) a; r. ~7 L" }8 P. N; ~& K
e、/winnt/system32:
8 p+ R% z5 }/ x选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* d( g" N# ?& v; Qf、/winnt:
3 m( h1 Z( A% @, @. \选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。( V! _( U* K( s- \9 D* z
g、/winnt:
) r; n/ Q- ?. ]8 b, ]2 N
0 j' B* f! e9 A/ Veveryone:读取及运行列出文件目录读取
- j9 O1 }( M! u4 B1 M$ X4 |(允许将来自父系的可继承性权限传播给对象) ! x- R. x9 O/ {: F" L
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
, {- ]' T1 p' l# Oeveryone:修改 ) u U- X- m% s$ N
(允许将来自父系的可继承性权限传播给对象)
" p+ e. Z( H2 p$ Y t1 c' H6 p. N10、如何隐藏iis版本 3 K g2 P/ ]4 M5 E) w
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ; `0 ~+ z; g- \% Q+ Y
iis存放IIS BANNER的所对应的dll文件如下:" ^: D( S! h# w. Q* l1 O" L
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
# @9 R% C& g4 S# Q8 D0 fFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL, j% ~/ q2 B& `8 A/ b
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
& C( A) Z7 g& B8 e$ s2 D你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ; C# F/ C/ A" Y+ t% q( ~
具体过程如下:
4 d' _# D. v3 s; p# {1、停掉iis iisreset /stop : N8 `0 J4 X6 w+ d f( j9 W- }& C+ D
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
- c8 s1 \- H9 S% H3、修改 |
|
发表于 2008-1-25 02:15
| 