|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行
% w' \3 _# Q9 {修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
; z' P' G1 I7 k/ c7 g2、如何防止asp木马 . e" U5 B1 b5 n9 N- j# F9 n2 m* D# }
基于FileSystemObject组件的asp木马 5 k2 J( d# N D& x- U) A2 u
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用- j! Q x8 h+ i) K0 w+ P
regsvr32 scrrun.dll /u /s //删除
4 _& {) }/ i! u4 o基于shell.application组件的asp木马
+ g- R3 x, u0 z& o& Pcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
# Y$ \* r7 N( }# A" k {regsvr32 shell32.dll /u /s //删除
5 g- v0 N8 E* x$ \9 L$ u. l* f3 o3、如何加密asp文件
; {6 X) X; a/ X从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
- s1 ^$ e* k! C. ^. v安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。/ q$ k2 B" @4 \* q3 Z; a
运行screnc - l vbscript source.asp destination.asp
& t; m' [( k* t) w! c' }2 Z- b生成包含密文ASP脚本的新文件destination.asp
" Z; |3 X7 {. I1 }: M S用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( j1 @+ l. W6 M但无法加密中文。
" j! m# m F9 d w- t7 Z q4、如何从IISLockdown中提取urlscan $ H$ {4 \, t! _
iislockd.exe /q /c /t:c:/urlscan8 v) N2 M6 G* t5 T
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
& g# S* @! W" h- M执行 6 \- K0 W" D% ]+ T, M0 C
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
9 o/ Z! C7 \9 k# N; y. I最后需要重新启动iis 5 a7 @1 k& `1 H0 c
6、如何解决HTTP500内部错误 r. h. K6 C6 E. h8 J0 r( c
iis http500内部错误大部分原因+ r4 i2 `9 T: m6 M+ `) H; b
主要是由于iwam账号的密码不同步造成的。
- _! ]0 [3 a: g8 C我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
+ d! }# p2 L6 _0 t执行
+ K- @, }; R/ q: e% I Mcscript c:/inetpub/adminscripts/synciwam.vbs -v2 r% O8 i+ d( R5 q" K5 \
7、如何增强iis防御SYN Flood的能力+ U, C/ X$ V3 a# M
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
: y" ^1 w% b! @" n0 J4 ~启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
) `0 n# \' s& Z' s5 `( D"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 w2 U0 O& |- Q$ j/ e* W# b"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050) B4 W4 [4 N" P: M
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 # \) z. a( V+ Q: f7 u/ ~
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
$ H8 `0 q/ `5 u3 _* U8 `9 r. B微软站点安全推荐为2。, O1 n: j9 n/ Z6 K, ^9 h; a
"TcpMaxConnectResponseRetransmissions"=dword:00000001
4 I/ i6 a& l" \设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
! O8 w; M) W& E4 P; e- J1 t0 F( s9 Q"TcpMaxDataRetransmissions"=dword:00000003& e# W3 ]1 R6 F* B Q8 X
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。' M. W& V- N) S/ D4 K! D) t* E V
"TCPMaxPortsExhausted"=dword:00000005 - {* |2 r2 y t. g3 b
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ' e' W% M, f; Z& O% K4 i/ l. s |
"DisableIPSourceRouting"=dword:0000002" C) O$ |3 E2 P: e& c/ |- T
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。/ T) l" c* w$ Q6 T- W2 p
"TcpTimedWaitDelay"=dword:0000001e
6 j# Q3 h5 ?& F7 x
@: m3 N m0 f8、如何避免*mdb文件被下载! a9 x8 P1 e7 @' v: ^# C- j, K
安装ms发布的urlscan工具,可以从根本上解决这个问题。
) U5 F; }* f' C; ?( g8 W$ Q) k& u同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
; S5 c& F- ?" q) b$ u9、如何让iis的最小ntfs权限运行 * H$ u4 {+ Z: |' m" m7 E+ \; S' Q
依次做下面的工作:
2 f: G0 X8 d5 B3 `a、选取整个硬盘:
( J& R9 ^. a0 Nsystem:完全控制8 a2 V; N* j2 x) p2 d
administrator:完全控制
, y- x* A6 A3 f) ]: \4 g(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
$ ~: r% t; O7 u$ B4 k- v* ?) xeveryone:读取及运行列出文件目录读取 7 n- j, |) a! z
(允许将来自父系的可继承性权限传播给对象)
2 f, L& R+ K: k5 fc、/inetpub/wwwroot:
4 c( L& }, J/ M; }- g1 _! M# y* O; Diusr_machine:读取及运行列出文件目录读取$ o. t, @# L6 H9 V5 ~
(允许将来自父系的可继承性权限传播给对象)
# {! e* J4 O" S# L' Se、/winnt/system32:9 v) T5 O: M! o9 m; n$ T y
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 h& G% o# k" U4 t9 ^; Ef、/winnt: 3 E, z: j S, `: p* L4 a
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。, k) X2 `8 ~' A$ Z9 Y
g、/winnt:
" H$ [( M% y; J4 b: u( ?$ v, S% N
p; b: ]2 y) `0 l- J1 qeveryone:读取及运行列出文件目录读取
- S+ b/ v" ]0 [; l; `(允许将来自父系的可继承性权限传播给对象) + x: j/ ^) k+ c/ s: i
h、/winnt/temp:(允许访问数据库并显示在asp页面上) 1 Y: a4 H9 Y% B% ^6 F, u1 C1 `6 p
everyone:修改 1 _7 R6 [5 @" d: |( h
(允许将来自父系的可继承性权限传播给对象)
2 O+ s: k; n0 {3 w* B10、如何隐藏iis版本 \, j+ N0 w# I
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
" x7 @8 L, i- fiis存放IIS BANNER的所对应的dll文件如下:
: m# M! r$ A1 ^* e$ y4 j1 NWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 3 i) Q+ d1 G/ i; Z. k7 }
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
6 h# ^& ]* p, v. F% sSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
$ {# O7 d* e% x( b( }% O4 P1 n# u) ^你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
9 a4 |& C$ F# B+ p具体过程如下:4 D' \5 u: E* r
1、停掉iis iisreset /stop ) R# a5 A$ { f- {' w) d4 f2 q
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件. e! R$ h5 ~( c2 B
3、修改 |
|
发表于 2008-1-25 02:15
| 