|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
: w) X8 N! r7 k* [5 I修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... . H0 ^3 P% g" l1 m. g- X
2、如何防止asp木马 3 U3 }. q8 ?2 R* V3 I2 P
基于FileSystemObject组件的asp木马
5 a/ \$ N0 Y# mcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
. O/ @& v& h; Vregsvr32 scrrun.dll /u /s //删除
( R7 U2 }' \% L基于shell.application组件的asp木马
% m3 C2 K6 z) v9 }cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 2 s4 S1 ~! V0 s, c2 Q; K) J
regsvr32 shell32.dll /u /s //删除
) p. E+ x* {& ^8 z. d8 n, [( [3 A3、如何加密asp文件 2 M: M) N1 e1 [. G
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
8 ]- m& O! Q* }- O2 y q安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。8 l% y. e0 }7 B( e4 E
运行screnc - l vbscript source.asp destination.asp
% S% M, C' l m0 u$ f) y生成包含密文ASP脚本的新文件destination.asp
. H8 {; I/ P9 m9 u5 }7 s用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
7 ~; P& t8 s* D6 f$ X }+ e$ P但无法加密中文。
1 Z: J/ T5 T; H! O4、如何从IISLockdown中提取urlscan
9 q8 ]2 h9 i4 t0 j; ?9 siislockd.exe /q /c /t:c:/urlscan' o: H# x( W% s: N: R
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
/ P: j4 q+ A# O5 U8 c1 P2 K, N# S) A执行 ) B! I7 J4 i6 {
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
/ s/ k2 G( [- F, H/ r" m* w6 o最后需要重新启动iis
6 j3 Z5 H% p- L' I9 k; J5 y1 V- m6、如何解决HTTP500内部错误1 A" m1 k5 Q% ^. f6 p3 f# t
iis http500内部错误大部分原因& `' V8 N6 |4 b
主要是由于iwam账号的密码不同步造成的。
3 O4 p) }$ D" l, o, ~' ^# J我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
% ^+ r" h5 t" \- \9 A执行
" d: o. i& Q+ ucscript c:/inetpub/adminscripts/synciwam.vbs -v
; c i z+ c9 i: q7、如何增强iis防御SYN Flood的能力
; a, M. d6 Q. d$ S4 ^) P- _Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ) e$ o' b# o# ?- G2 d4 D
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。! H: D4 N6 e% {+ o6 k; q
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
6 b2 |2 |8 Z$ o+ F& \' {"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
- B) a( D9 q' q# u2 \; z, ?; L设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' m) s& Q& R, `: ]6 S' P' ^* u( B- a项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。6 J. ~. O3 Z. i
微软站点安全推荐为2。
+ t+ H- i& J% N& N; g"TcpMaxConnectResponseRetransmissions"=dword:00000001
4 u$ g3 g, h9 O设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
2 o2 b0 o/ r' z$ Q5 x/ \/ F# B! n"TcpMaxDataRetransmissions"=dword:00000003
8 P6 k. q7 f1 p, h设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 x, |* R! ~% e! H9 ?"TCPMaxPortsExhausted"=dword:00000005
& J3 V3 E! B8 \禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
$ H) {, c$ [: f0 | K"DisableIPSourceRouting"=dword:0000002! E0 G# v. l. p5 e, Y
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。! G F8 f) w6 y% g
"TcpTimedWaitDelay"=dword:0000001e2 j* M/ O' x) E. d& q$ L
~/ I8 B) j/ j" G
8、如何避免*mdb文件被下载! n3 \- I1 N5 D8 u& y G
安装ms发布的urlscan工具,可以从根本上解决这个问题。 A' H$ D" J1 G6 L" s5 \
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 : f! I9 {, ?1 I; {$ j
9、如何让iis的最小ntfs权限运行
& M# N9 M1 r3 Z0 V, h依次做下面的工作: " Z) j% Z/ y. t* M P0 `8 x% S" p. O
a、选取整个硬盘: * f6 p. G5 O/ N4 A4 n( F$ [9 o
system:完全控制0 A% Y2 S6 O8 `6 `3 z& ^# ^
administrator:完全控制
" K0 W5 B( a- r( W$ ]! z(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
7 y# x4 q: t% M3 Y" {* |everyone:读取及运行列出文件目录读取 1 m( c! F1 J- @9 n O
(允许将来自父系的可继承性权限传播给对象)
& [0 s" i+ a: J3 B2 dc、/inetpub/wwwroot: 4 a! n3 P H! H$ K4 g$ L8 {
iusr_machine:读取及运行列出文件目录读取 | R: E- Q$ g# B3 v4 G! X
(允许将来自父系的可继承性权限传播给对象)
! b$ B! Q' K2 Y) ie、/winnt/system32:
' N& j# n6 V- Q% ^, Z% b3 `选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 9 {% z, A4 f; P z9 M+ l! W
f、/winnt:
2 \; M' b9 w2 {0 f选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。8 ~, r4 e7 u: Q; C" a3 _
g、/winnt:
! i- k; V3 G2 B" d5 ^/ t
& v3 @' V2 A- Ceveryone:读取及运行列出文件目录读取
; R; i& k6 v8 c5 l(允许将来自父系的可继承性权限传播给对象)
! j- \4 h: G# K/ G6 [2 }h、/winnt/temp:(允许访问数据库并显示在asp页面上) ' ~9 ~% v: g# b/ m* i! {3 z
everyone:修改
8 |6 E1 ~! J# }) X5 w" E) ?# }# Q9 G(允许将来自父系的可继承性权限传播给对象)! x! A4 }- i5 \" I+ `
10、如何隐藏iis版本 % |4 v0 ^; L3 u
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
: c3 P6 N" W2 Oiis存放IIS BANNER的所对应的dll文件如下:
5 q ?5 d: Z0 I/ y6 h% w9 UWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 3 m7 c; w9 I- L6 z/ h5 G2 Z
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
4 S2 Q9 p/ [, ?; n# G9 z oSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
) z L1 O" t" _) [9 u. s; ?/ V你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 # {1 v! j% g# M, s( q) _
具体过程如下:
: w9 o8 f4 w) J4 b( l, x1、停掉iis iisreset /stop
6 e3 p' M% T9 h! d+ ^; B6 ]2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
! J; u0 q! R P! }3、修改 |
|
发表于 2008-1-25 02:15
| 