|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行9 C' p! a6 }6 O1 Z0 w
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... - A1 V# h% g3 N0 e! v; B3 o6 @1 R
2、如何防止asp木马 & x4 N6 h% r( a" F/ K$ A0 [. h
基于FileSystemObject组件的asp木马
/ G+ D6 T7 |) Icacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用9 o/ `. f8 R1 O8 S
regsvr32 scrrun.dll /u /s //删除$ x0 x" G$ @+ e, n3 ?
基于shell.application组件的asp木马! M3 H2 z7 j0 @& u0 D6 S' M' W8 E
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
& R- B: W- e3 f0 [regsvr32 shell32.dll /u /s //删除 - {1 o g4 h5 l8 @: H: B7 k% q5 \$ Y
3、如何加密asp文件 " P" _9 ~( P$ `/ R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
4 g) d8 B- W4 `* i安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。9 d7 a3 m8 W( ?, w$ y6 M
运行screnc - l vbscript source.asp destination.asp/ g5 k$ Q u) I0 v7 F T3 [# E: Z
生成包含密文ASP脚本的新文件destination.asp" h! C$ p+ y7 y4 s
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, m! x4 w) C+ H, M2 ~( v8 N7 j但无法加密中文。
( ~( S# J8 @ x4、如何从IISLockdown中提取urlscan T( [& A" M8 k3 z! i
iislockd.exe /q /c /t:c:/urlscan. Q; Z& e0 b" _% ?6 G3 h! z9 U
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 4 x* b. v' I' I4 }& Q& p5 w- C
执行 3 d) Z4 P! t3 _
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True # p) R) v6 v; J. s' j: A5 t
最后需要重新启动iis / b# Y! K; T; X9 p5 L: ] f
6、如何解决HTTP500内部错误
. a* b1 V7 v0 [* L& ]iis http500内部错误大部分原因8 g+ m5 E5 v E0 C. _0 A$ R) v
主要是由于iwam账号的密码不同步造成的。
7 c* v V4 [' `我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。: i3 ^) E3 |5 N1 n8 i
执行 + M" |% n' J0 r( b+ h4 R
cscript c:/inetpub/adminscripts/synciwam.vbs -v. J8 Y2 M* o- ~ {+ U( p8 ~# F& `) a
7、如何增强iis防御SYN Flood的能力
- z& d* O& t! J9 l1 ^1 Y) VWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] f$ B5 ?3 _ X* i& d' n
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
. O$ J. e D1 a% V"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。) E. n- v8 y$ }+ M
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050' r6 P% J2 q* m6 M' K# O) i
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 + Y H! b7 Y. o+ y
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
+ y5 W& t8 c. ^2 i微软站点安全推荐为2。
8 P4 U9 X$ O4 L0 Y7 P' u"TcpMaxConnectResponseRetransmissions"=dword:00000001
6 c' i# j2 a' b1 @- o设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 + \& w- w+ M3 x. b5 B
"TcpMaxDataRetransmissions"=dword:00000003
9 l+ f, k1 }# T/ z0 W设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
- y! S V# C& B9 P; z+ S"TCPMaxPortsExhausted"=dword:00000005 # M5 w+ U* a1 x% Q0 V
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 |1 e( `. X( `" H
"DisableIPSourceRouting"=dword:00000025 c' ]- [6 ^% T8 e& T
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
4 O- }7 [6 J2 B7 U" f2 E) {) t"TcpTimedWaitDelay"=dword:0000001e) Y( a& j! _( z9 R: H9 F
) x8 H9 B9 \6 S/ G. H4 r$ I7 N8、如何避免*mdb文件被下载1 E2 M& Z; K4 |! I& |: S. y9 _# V
安装ms发布的urlscan工具,可以从根本上解决这个问题。% q4 b2 b: k8 s
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 5 `/ U" Q6 J2 z, y) f1 Y* c( t
9、如何让iis的最小ntfs权限运行
1 E6 Q5 x. D- F) y/ t N. q" k依次做下面的工作:
- k$ u+ j! ~1 @! T( B+ Ta、选取整个硬盘:
( M: X: B X( e: c3 asystem:完全控制
3 F. i, X8 j8 B: s8 r9 O! gadministrator:完全控制
2 B9 N9 t# D9 G' b7 K- z(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
1 e+ J* U+ r; i1 _) `. e P, W% Veveryone:读取及运行列出文件目录读取 3 q/ e: I! D& w2 i5 e
(允许将来自父系的可继承性权限传播给对象)
7 d6 u6 R8 V: A5 C: {( E2 uc、/inetpub/wwwroot: + r& K$ A8 P/ z& h& K* ?
iusr_machine:读取及运行列出文件目录读取
/ x: T% w+ R( J2 d9 R(允许将来自父系的可继承性权限传播给对象)
+ ~) t/ w2 \1 C0 K2 o+ b' ~e、/winnt/system32:2 L% c: k" N2 b$ S- n
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 " C( [- q) w2 t7 w j5 l1 q4 k
f、/winnt:
. c% H/ `/ Y; |' _/ R: q5 L7 _1 g选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 z0 h4 Z$ b4 O' gg、/winnt:
) l8 g! S0 h0 E; L! W7 u9 H + Q! U3 F: Z$ O! K( V6 G& f
everyone:读取及运行列出文件目录读取
* h. S* J6 a3 T6 h6 s# ~(允许将来自父系的可继承性权限传播给对象)
: W" h4 K- ?, v8 g) C: th、/winnt/temp:(允许访问数据库并显示在asp页面上) / F. J6 J. Q1 I. f5 D- m
everyone:修改
, ]2 @% W9 H( d. t6 ], P(允许将来自父系的可继承性权限传播给对象)1 Y" ?5 d1 J0 R6 p: O
10、如何隐藏iis版本 $ d' g; X; H9 g _
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 x& U6 [' w6 J) g- Q# diis存放IIS BANNER的所对应的dll文件如下:
* h2 h4 i1 r, J% X* W; p$ yWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
% C( T8 |% b, l8 K- DFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL; r, S' D6 ~3 J$ i7 T; Q- q3 D. c
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 6 ?$ C A9 I$ g9 V( ~( R6 s( p
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 % m1 t/ P. r% o1 m* X1 P& c
具体过程如下:
5 N" z, B/ T% A1、停掉iis iisreset /stop
9 U1 p" w6 `. a& {2 J7 K$ V2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件3 S4 v$ ~$ ]$ |+ |
3、修改 |
|
发表于 2008-1-25 02:15
| 