|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14161
- 金币
- 2371
- 威望
- 1647
- 贡献
- 1319
|
1、如何让asp脚本以system权限运行; T' L8 j/ P- v0 E' |- i; i. _
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% k4 k v: B" |7 D6 W2 f: |1 X/ ^" `2、如何防止asp木马
& B' r$ D3 v* J% U" P- q" C基于FileSystemObject组件的asp木马
% j/ \2 D+ w# ?5 I8 acacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
- z0 ~: {/ H% gregsvr32 scrrun.dll /u /s //删除
+ V" i5 `( j; d6 H基于shell.application组件的asp木马
" z/ o$ p8 W( j- K/ u7 \cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ( N! K5 ~( x8 w" y
regsvr32 shell32.dll /u /s //删除 & z: d% z- j) E7 V" p' m
3、如何加密asp文件 2 @/ S# I5 I8 E
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 Y- v& d; u+ J. D2 H安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。# j+ Z0 w2 n" z' e
运行screnc - l vbscript source.asp destination.asp
/ E8 P8 `: [( _# K& S生成包含密文ASP脚本的新文件destination.asp
0 O7 F9 ~- L' t" J! t( {9 W1 h用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
: N( W% S2 M9 ~ }& G) c但无法加密中文。
0 a8 B# Y7 H) E* c4、如何从IISLockdown中提取urlscan 6 W' R7 K) ?) A! I5 C& C; r7 d- y
iislockd.exe /q /c /t:c:/urlscan$ M3 E* s( O6 m7 v
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 - }& r, o: m& M% S: `
执行
& N' R' V6 D1 F* s, l* vcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True & n% S3 }1 u; ]
最后需要重新启动iis 3 j! ?) |, n; ]1 p. g C
6、如何解决HTTP500内部错误
. J' Q- m9 ~ p7 Y) Qiis http500内部错误大部分原因
5 L$ K, A8 @7 @主要是由于iwam账号的密码不同步造成的。
; O8 k4 f1 M+ S3 q我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
$ e P8 A9 P6 p6 f, h0 d7 N# G执行 ! b$ Z Y% U% ]
cscript c:/inetpub/adminscripts/synciwam.vbs -v X6 {6 M6 V' I, i
7、如何增强iis防御SYN Flood的能力' o5 F9 Q. P/ I* _. z% p; w4 f
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
$ q* g: b3 P0 B' f. _启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。; c: i9 I6 u3 O- B; i" y5 H, \* R9 Q+ O
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。/ T+ I# y5 ]* I+ S$ x8 V
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000509 z, L2 e, r" ^' d! _# l6 `
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 2 q4 `4 @+ r' ]2 h
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。0 |0 V m: }1 u! O9 a
微软站点安全推荐为2。
8 k" ~' J4 n) J8 v* E"TcpMaxConnectResponseRetransmissions"=dword:00000001
( v9 X. [1 ]) b- o% K设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 4 U( z0 _5 n+ {6 W" a
"TcpMaxDataRetransmissions"=dword:00000003
9 b# L/ m8 L# h) k设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。; S2 t- ~, }& B
"TCPMaxPortsExhausted"=dword:00000005
( T4 o2 L2 A) ^0 b: c8 x禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 " P2 y0 t, I- R* o8 Y7 _
"DisableIPSourceRouting"=dword:0000002
( T) q$ c; D4 g1 {- a限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 h7 V# ~8 ?- }/ G) l" d"TcpTimedWaitDelay"=dword:0000001e
$ n. v; S; k" I' V- e0 n- S
! d4 X7 W: i" d5 N5 j8、如何避免*mdb文件被下载
9 a/ Z$ t/ K! B9 b$ ~: d2 F9 G安装ms发布的urlscan工具,可以从根本上解决这个问题。
/ q) c$ j+ a$ o同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ' V3 r$ J `, r5 S. E! f% A! }! o
9、如何让iis的最小ntfs权限运行
* g# {* g7 @7 D$ U) R, {+ T0 f( i+ B依次做下面的工作: 5 L# G" U: d$ }9 R
a、选取整个硬盘: & _8 [2 R) f4 \( p' a% l
system:完全控制" ~: Y6 j2 B1 g5 G6 b
administrator:完全控制
4 V; ]9 _ N) ]9 O, N) f+ {(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: / y7 i8 H" G/ h( s: }
everyone:读取及运行列出文件目录读取
( h y$ [* |0 o% ?1 U, I o(允许将来自父系的可继承性权限传播给对象) 0 ^7 h$ T6 j4 Z" o, ~ Y; y3 f
c、/inetpub/wwwroot:
, e8 l: O. M. t# J d b! iiusr_machine:读取及运行列出文件目录读取; E5 J/ r3 D( O$ j; n2 F
(允许将来自父系的可继承性权限传播给对象)
* D6 s9 W5 I5 I+ _6 ?3 b( ye、/winnt/system32:
) B7 N# E4 p! y6 q+ m; N4 d- w- m选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; Z/ X4 Y T* }9 z) m8 O' G" S# T+ Nf、/winnt:
% X: e, ~. F; C0 e2 S选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 w0 d* E% Y* _2 lg、/winnt:
' T/ B; C& _" W% Q2 @3 P. {5 d & [# c9 M) b& X3 a4 S( c% w
everyone:读取及运行列出文件目录读取
5 p( @9 F9 c% ]6 u. s6 P8 e(允许将来自父系的可继承性权限传播给对象) ) W. w* B5 s! c# R7 m( D
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
4 s' Z; R! U' |everyone:修改
) q4 }+ C0 C n( l6 X" {(允许将来自父系的可继承性权限传播给对象)
; S2 n0 n5 u! o& U& T2 ?% E10、如何隐藏iis版本
+ D- Q4 x. r9 m* [+ z一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
& H7 M( H# I, N( g, z0 riis存放IIS BANNER的所对应的dll文件如下:$ e( C/ i% ^) P0 Q% }
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
: \& e, h- |3 v8 ^8 i/ `* SFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
6 |2 x8 z+ d) v# [ O( [, ASMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
) X1 ~' F+ a6 u7 n* D你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
8 u) y1 i: [) z/ a/ g具体过程如下:. b1 P. C/ Y/ l! s( T- v* l
1、停掉iis iisreset /stop ( P- e) K2 O# [0 w* {+ C
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件2 U5 p2 H9 g8 f% G) t
3、修改 |
|
发表于 2008-1-25 02:15
| 