|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行: t, ^2 f/ N6 m: z1 b0 h* z6 y5 I
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... + r& H% j4 d% t8 Z ?! Q. K) b
2、如何防止asp木马
7 ?# M+ U( ?: t& h6 P% D基于FileSystemObject组件的asp木马 * J) C* d5 ?5 ]3 {& G- U ?
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
4 y- t. `3 h5 Z6 Mregsvr32 scrrun.dll /u /s //删除0 Q1 B. |' p3 s& f6 K
基于shell.application组件的asp木马. S5 D8 M8 m& @/ h# G6 m, c: u
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
5 O8 M/ q9 M) Jregsvr32 shell32.dll /u /s //删除
* d- e2 f. G5 Z ?% e3、如何加密asp文件
. l2 C7 R$ D r0 ~从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
0 a6 | J5 ?: ~9 m1 O D# s安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
$ k( b" K0 X" d( D3 o% ~/ C运行screnc - l vbscript source.asp destination.asp
4 c, {8 u( H: D4 P生成包含密文ASP脚本的新文件destination.asp
- O" ~; B& L6 M, X用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了* x) ?$ w& D- l2 q+ d
但无法加密中文。* C/ n+ a, }1 T4 H
4、如何从IISLockdown中提取urlscan
& ?1 j. o3 ^( m' T6 liislockd.exe /q /c /t:c:/urlscan
7 e( C. D# L- w5 C1 H% l# T; f5、如何防止Content-Location标头暴露了web服务器的内部IP地址 3 S# ^7 g$ M8 F! I; E" K
执行
}/ J- t( |+ x8 acscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
3 D5 ~' L g& C$ ?" d9 B' ?3 k) K4 V5 ?最后需要重新启动iis 6 Z: X; t4 k: P$ P+ S' ~3 z" Y" o
6、如何解决HTTP500内部错误
" c# c; i# Y# k" L. `iis http500内部错误大部分原因
9 E7 C! T* U6 o主要是由于iwam账号的密码不同步造成的。7 G& n) T. K% t
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 r9 @: n3 z1 E执行
1 N, f" K; g8 _" A: Ncscript c:/inetpub/adminscripts/synciwam.vbs -v
0 o% c" U- [5 n1 i9 R7、如何增强iis防御SYN Flood的能力
" {* q, c; |+ KWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
6 }9 l* L0 ?2 N' C启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。) b2 [; d# _; ]& {* H1 \3 g8 ^8 L7 y
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
$ q3 E9 L1 ? Z% _. }( v9 h+ c" ["TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
8 D1 D0 n7 Q( M设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 2 S8 P: V& x6 |' G! z c. j! P) \
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。! E& a! V# i3 u/ Y( _
微软站点安全推荐为2。
+ @1 w" @8 \4 e* q$ C3 s"TcpMaxConnectResponseRetransmissions"=dword:00000001 5 E7 i8 x3 m. y! H% i) u
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 6 c" q4 _5 Q' t+ k
"TcpMaxDataRetransmissions"=dword:00000003! Y+ v# G2 k/ G# g- q5 I1 {
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。+ m' Z2 t6 V! h4 a/ ^" C
"TCPMaxPortsExhausted"=dword:00000005 5 j p [6 X! q
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
; ^1 ?5 A7 b8 x/ q"DisableIPSourceRouting"=dword:00000023 h5 U$ k. |2 K" s4 j
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
, i, n$ H Z% @2 q7 F; ?"TcpTimedWaitDelay"=dword:0000001e
. n! ]3 O* g- ~, e" b! G$ a- ]+ S3 v5 j6 l% b2 c
8、如何避免*mdb文件被下载
" u" Q9 h K! D. B! m. Y+ s安装ms发布的urlscan工具,可以从根本上解决这个问题。" B$ o& ]9 M8 i9 p
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 L' g: v1 u) C% e; j/ G
9、如何让iis的最小ntfs权限运行
3 k" P5 X& b7 x& b0 {依次做下面的工作:
; R* q$ h! u! f ?; ha、选取整个硬盘: 3 n0 l: |$ j5 {+ D
system:完全控制
6 f3 P2 X1 b# j/ ? |9 a, }administrator:完全控制
/ p( ^1 I. k5 ^( F* m6 a(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
) J' `0 J4 y1 a. B2 ~$ {everyone:读取及运行列出文件目录读取
8 r8 p5 a7 W0 ?; }(允许将来自父系的可继承性权限传播给对象) 7 ~$ r& d' ]- }
c、/inetpub/wwwroot:
7 M. v( f. g. n" siusr_machine:读取及运行列出文件目录读取
2 P0 p: P5 D0 Q6 G( G(允许将来自父系的可继承性权限传播给对象)8 i' D2 Y) g5 L3 r1 A; P
e、/winnt/system32:
' T8 a- f* Q% f& }/ m! M# u选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ( W6 |. h# D& g
f、/winnt: & i, k7 C! z9 m: t0 U
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( v0 s) E& F. I7 _ j( B- B% _g、/winnt:
* Y" o! A, o; V3 U7 E! ~
7 l0 r, m& ?# B: geveryone:读取及运行列出文件目录读取0 ]' x& ~6 P# b% n- v
(允许将来自父系的可继承性权限传播给对象)
- D4 j8 I* y! O8 E& n3 c Z: ]h、/winnt/temp:(允许访问数据库并显示在asp页面上)
2 w0 u5 O- J5 g" I4 a- R% geveryone:修改
D4 T9 G3 k% W( {8 L/ h(允许将来自父系的可继承性权限传播给对象)7 O* {$ A7 j- E8 L5 f( Z
10、如何隐藏iis版本 1 I0 ~4 _% K5 E: j7 t; p
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 / n& p% U* p- T( @! G+ r/ s: l
iis存放IIS BANNER的所对应的dll文件如下:
. \* S4 f" r1 y- N* j- l5 OWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 7 q* H5 y. }: d0 _: E
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
4 }% x, a/ q8 {4 |$ d GSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL & p5 N; k# J+ e% i# _- M
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# r8 u5 I B# m: }具体过程如下:2 l3 W# `- {6 @& v8 V
1、停掉iis iisreset /stop
, J) Y8 d, y* o% J$ o( H: O' x$ j2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
1 @8 Y9 e; a1 A6 O- \3、修改 |
|
发表于 2008-1-25 02:15
| 