|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
9 F( ]8 }' A: Y) u% n修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
+ \, D/ T8 E) |/ a3 z$ d+ P2、如何防止asp木马
8 K6 }/ I: ~) T; F7 F4 M( [9 W基于FileSystemObject组件的asp木马 r ~5 {2 S* p P
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
1 d8 d9 Z" d/ D& ^regsvr32 scrrun.dll /u /s //删除
: v* P% v; C4 J( h1 D1 D g基于shell.application组件的asp木马0 f9 `9 I$ f5 V& Z5 h& c; U
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 1 a4 h+ Y& F+ I4 a( ?4 ]
regsvr32 shell32.dll /u /s //删除
+ U [ H! B! [; _3、如何加密asp文件
5 W- V N% Z$ K' a6 a从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ b; [! U- p4 _0 q4 c8 ?- @9 R. l安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
1 ?* l; Z6 W- H. x8 F运行screnc - l vbscript source.asp destination.asp
* y$ `) c8 ^! q" j0 w' A5 _* \生成包含密文ASP脚本的新文件destination.asp
7 ]+ P* t+ T: t3 n用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了# u" D; g! P* Q3 S* c$ C
但无法加密中文。
8 A2 i7 a( Y J( j$ }% q9 m/ G p4、如何从IISLockdown中提取urlscan
- T6 z0 q" P8 ^4 B" ?iislockd.exe /q /c /t:c:/urlscan
p ~. s/ O: s/ B0 X2 E7 ]5、如何防止Content-Location标头暴露了web服务器的内部IP地址 9 u/ ~, {& u6 g8 l1 S( l, L
执行
7 W9 Q$ d0 W5 K6 g/ d) z0 \: L0 d% ]cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
3 x" W5 w' R- S最后需要重新启动iis . @2 l' p8 e |/ i
6、如何解决HTTP500内部错误; x( c- h4 A5 J7 W
iis http500内部错误大部分原因
+ a$ F4 T/ I- M主要是由于iwam账号的密码不同步造成的。
5 |! [# U6 }3 S! b. }/ H我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。3 n B8 N; e" [3 V' I6 |+ x
执行 " x7 K& a' S' U3 x: ]3 I' b( c
cscript c:/inetpub/adminscripts/synciwam.vbs -v
$ J1 Z9 R8 i1 ~, ?; ?1 n. X7、如何增强iis防御SYN Flood的能力) t0 t5 f! M) U& D6 O& ^$ w
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] + [( t7 D+ e' c. ^, F1 p+ o2 i
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。/ X/ s/ C7 a* J, x5 l$ x4 W8 Q
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。) b5 L2 r- I9 l1 z& y3 ]; ~
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000504 x {( ?# L w. i* h
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 + P6 b8 W2 ?% R9 \
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。) Z4 v) c6 w2 F$ X1 a
微软站点安全推荐为2。0 w! z! L' ^; e0 J! X- {
"TcpMaxConnectResponseRetransmissions"=dword:00000001 7 a* {5 I! `" Z. E K
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 . ^% e& {2 C2 V7 M8 |
"TcpMaxDataRetransmissions"=dword:000000034 z. A- J: }! b
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。* C8 K4 o3 z# h: S0 w$ Z
"TCPMaxPortsExhausted"=dword:00000005
! u/ W* @2 c5 e禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
' W- X+ \: F, T4 J2 r- v"DisableIPSourceRouting"=dword:0000002
& M7 C# `9 h5 u- V3 a5 r/ [限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。7 E8 u2 D9 c% ~' I( [" ~2 \! `( b
"TcpTimedWaitDelay"=dword:0000001e( `4 ~, n, C' x: W% _/ Z
& w, d5 b& x( t$ o* |4 ~
8、如何避免*mdb文件被下载8 H9 R% ?. x5 r) Q n
安装ms发布的urlscan工具,可以从根本上解决这个问题。
& w; b; h0 N) X( Z7 P/ P( c同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
8 Y- N3 a3 i. f! F9、如何让iis的最小ntfs权限运行
) \+ c7 Y. {6 S依次做下面的工作:
% L1 H* y( [' P/ qa、选取整个硬盘: ( p8 g$ D) I4 B2 w5 M' H
system:完全控制
* v' O5 u5 e2 l0 T- @" c* v7 Tadministrator:完全控制
# P, A' C% Q6 v" ~* f' n2 Q, D, A(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
+ B1 ^" _4 T) ]- B; g6 Y) teveryone:读取及运行列出文件目录读取 ' ]$ ]0 o# q+ g: r# }# Q! O( P
(允许将来自父系的可继承性权限传播给对象) 9 [' O k/ k0 p! x5 ^0 a0 w- t
c、/inetpub/wwwroot:
8 n9 Q6 s! T) h* niusr_machine:读取及运行列出文件目录读取
' n& V+ x; |8 k1 r* f(允许将来自父系的可继承性权限传播给对象)
. ~7 p( ? {8 ^: s7 i) D/ D' ze、/winnt/system32:; Q' y4 m% y1 T, r6 O! @% G" [$ X
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ' U$ B1 p: z" r, P2 D
f、/winnt: 3 g- D; d, f6 v7 m4 N; K
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& Q# O% m7 _4 Rg、/winnt:9 W2 a( d Y/ ]8 G7 A* r# A5 W
. n, q* V5 T. l$ H4 P' r: [
everyone:读取及运行列出文件目录读取/ ]$ C' M. G3 v
(允许将来自父系的可继承性权限传播给对象) . T; J1 U- S. Y
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
1 z6 W. N$ l& t/ C" severyone:修改
* ^+ G) \4 s* n: |7 D8 k9 d(允许将来自父系的可继承性权限传播给对象)$ V1 J; ~: U2 q# g
10、如何隐藏iis版本 Y F+ v1 M( @# @2 v9 b
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
1 ?( ], J/ Z3 D6 L' r9 Riis存放IIS BANNER的所对应的dll文件如下:
9 \5 w. ]2 r) ?; j# ]- R }! ZWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ~8 v+ ? \2 r
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL1 r- n$ u5 v5 f* i# E
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
& ~# Z% u ^9 R, w9 V, V( |+ o你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
3 Z& G3 L) \( F: c具体过程如下:
( d; k8 o+ H" j+ J- f- `8 P1、停掉iis iisreset /stop 5 n: }* I+ K5 J2 D) ?5 ^. x
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
8 `) {4 t9 s3 _, O3、修改 |
|
发表于 2008-1-25 02:15
| 