|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行
+ w; ~- J5 F7 J* x$ y* {修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... # X* F n; ~9 `
2、如何防止asp木马 * v$ w( O( J4 D
基于FileSystemObject组件的asp木马 1 [( Y2 ?# W& |* k- B. a9 a
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用3 Q$ S2 Q/ i' K
regsvr32 scrrun.dll /u /s //删除
1 X. k# m) k/ p3 i, O基于shell.application组件的asp木马- P" d, M! H: m) E. U
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
1 z5 Z0 d4 X4 \- o3 k uregsvr32 shell32.dll /u /s //删除 ; A5 q2 g: e9 r% O
3、如何加密asp文件
% A1 F! k( V [+ \从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
. j ^' F2 Z8 E* m安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。, G$ i) _6 R( n$ A
运行screnc - l vbscript source.asp destination.asp
/ X3 @) ?4 p5 r( _4 [- ?生成包含密文ASP脚本的新文件destination.asp
# T9 `' c% d( z) S4 ?' M! q% @用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了1 U5 c, y0 c# e, ^9 l" o+ b
但无法加密中文。, T, L& b6 o5 s! t3 _% {( G
4、如何从IISLockdown中提取urlscan
1 S, W1 _0 ]( @- g+ H3 giislockd.exe /q /c /t:c:/urlscan, N* b$ I0 S9 g/ u5 B b9 B
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 " L, ^* `+ S& J- q& a9 s
执行 + }. A9 l0 C* y c6 I1 w: r% K8 L
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
" Z4 b, A( O5 j+ W2 W B2 o最后需要重新启动iis
6 J4 L- I; \0 |$ W+ ?6、如何解决HTTP500内部错误$ B1 C2 y3 M" Y* r
iis http500内部错误大部分原因
) S5 {' O. D L- q主要是由于iwam账号的密码不同步造成的。
- K$ c+ o- }( }0 p- B1 U我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
& v' W7 A0 Y* l( S0 |( v& Z" b) e8 l, U执行
4 i5 u# z- n+ [2 acscript c:/inetpub/adminscripts/synciwam.vbs -v
" w" ~0 J$ B% Q: T' l" C7、如何增强iis防御SYN Flood的能力
6 X) L. A2 P; \2 {1 R2 U6 WWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ( r) E* T( M7 Q, r! F+ M2 K& u
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
% s: v4 S3 T2 Z: \"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
4 L" P# f( r4 P- E2 w"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
' ~' _0 X% Z' V设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 " ^1 L( C( d: P7 K/ n
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 l4 c* N5 f& a. e微软站点安全推荐为2。% D7 l% n/ ~* A) k \) R) |- ~
"TcpMaxConnectResponseRetransmissions"=dword:00000001
' D0 Q! v7 n' N4 l设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 3 F. _; D: W' j" P: g9 M& b
"TcpMaxDataRetransmissions"=dword:00000003
9 B6 n5 Y2 I: o3 ~, O+ A设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。6 L" {' W: X8 a. X. E
"TCPMaxPortsExhausted"=dword:00000005 ( {# S1 ^) o( Z( g' ~7 q
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ; G8 M/ c, A* R% w( u5 R! v
"DisableIPSourceRouting"=dword:00000023 B6 v' P9 y$ A+ h
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。1 F2 H5 k$ Y. B- A# r
"TcpTimedWaitDelay"=dword:0000001e
: B: N! ^) ^- p* h }6 B* K+ j$ n+ p! x! b" W
8、如何避免*mdb文件被下载7 g9 D: p Q) O8 N" n6 _' r1 D
安装ms发布的urlscan工具,可以从根本上解决这个问题。/ f" O3 \9 o7 C% R6 u7 O% J" K" J8 @
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
0 ]* t: C! h% T1 c5 w! [- g9、如何让iis的最小ntfs权限运行 ( l: P8 L4 G- ]
依次做下面的工作:
2 H% \0 r) T+ x: pa、选取整个硬盘:
/ d7 M4 B6 |4 P5 bsystem:完全控制
$ ?& k" L% F) O* |6 |administrator:完全控制
2 N; F) W' z8 C% x' c6 X(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: * S) m3 T* E4 z( ~6 v7 r6 S$ u4 e- R
everyone:读取及运行列出文件目录读取 2 x0 x+ \. G, n/ e3 J
(允许将来自父系的可继承性权限传播给对象)
& A' {2 B6 u4 kc、/inetpub/wwwroot: & D$ K0 ~( B% `6 p& Z
iusr_machine:读取及运行列出文件目录读取! e; `3 n* _5 h2 U$ [
(允许将来自父系的可继承性权限传播给对象)
' p+ \, k$ U; e+ G. o: |e、/winnt/system32:% h* @1 i, }( [4 t
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - ^* ]# k2 a3 d* C9 N1 s( x+ _
f、/winnt: ( u" K* n6 t0 Z8 ^0 |& r2 W
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 w) d' ]5 }. p- A" ?8 ~g、/winnt:8 ^" r8 _4 s$ }, [2 {- S* K! y5 v/ W
9 y8 M) m$ M: |/ U) c, E
everyone:读取及运行列出文件目录读取' _+ R8 C- n% \! _' T: T
(允许将来自父系的可继承性权限传播给对象)
! z, |; p' p. oh、/winnt/temp:(允许访问数据库并显示在asp页面上) $ z: r, ?9 B/ n, g/ r) q: b
everyone:修改
, t- J" n4 t9 e/ p- P% r) m(允许将来自父系的可继承性权限传播给对象)" H( `9 A7 g4 V, C1 a# Z( p1 O8 L8 A
10、如何隐藏iis版本 ; w. b7 P& W/ t+ @/ V* E& m
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 L: n* J& Z% i& `iis存放IIS BANNER的所对应的dll文件如下:
- Y1 O- a9 w$ \. mWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
1 V7 t" W8 H4 ]FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL1 |0 @7 T" `" i; a
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
: h# s8 @& W0 I) O! H8 Y你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
$ i2 I; ~8 p9 P& _" ?具体过程如下:
; |7 M- i4 l4 a1、停掉iis iisreset /stop 0 a7 [/ O2 _& a( D; u W0 C
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件 M; u9 r. o& r7 q
3、修改 |
|
发表于 2008-1-25 02:15
| 