|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行9 a, d6 H$ @% q \
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 4 s5 t8 V2 Y2 I
2、如何防止asp木马 : k4 r6 p$ q" C) _
基于FileSystemObject组件的asp木马 $ a! m1 {8 V7 ?; d( A
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
9 U! Q1 E/ |7 q& Q# Rregsvr32 scrrun.dll /u /s //删除
1 X" `& q6 ]3 ]& i# N. l基于shell.application组件的asp木马
; A- K$ `3 L3 A4 i8 Gcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ) h! `" c' n$ w3 \
regsvr32 shell32.dll /u /s //删除 ) Q& F& B" h! [# b0 c3 O9 b9 t
3、如何加密asp文件 4 ^& l) P& y% a. t! p
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 0 h' o7 g! q* [1 \
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。: G! ^6 y2 J7 p$ d
运行screnc - l vbscript source.asp destination.asp
/ x0 f, d) k4 j# Y7 Q1 [生成包含密文ASP脚本的新文件destination.asp/ q! l- Z+ N- C4 |, Y/ \8 {
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了# x( s' y7 o5 q s, ?- L# c& A
但无法加密中文。
* V* R9 _, Q: V2 o( ^4、如何从IISLockdown中提取urlscan # e" x' V9 v" }5 \ [; }' l6 v
iislockd.exe /q /c /t:c:/urlscan# Q, H4 B! s! _0 z5 B* j. w" t
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 6 t( k; F1 q5 s5 ]
执行
9 E8 V4 e+ O+ T# \+ ecscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
! {4 t8 E! w( d2 C$ _0 I* U0 T6 Y最后需要重新启动iis
5 I5 j% {1 W/ r8 \6、如何解决HTTP500内部错误$ | S% ^! H0 f! u8 I
iis http500内部错误大部分原因: n. n m- X% P+ K) I
主要是由于iwam账号的密码不同步造成的。$ g0 T k7 B+ x9 L2 m2 i; B
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。& _& N* O% d- F9 X* W" Y
执行
, a- m# m7 c1 ~' A- C* N. ~cscript c:/inetpub/adminscripts/synciwam.vbs -v
! ^/ N A( j" K- U, e# J5 }7、如何增强iis防御SYN Flood的能力# r9 J k: \/ g7 k
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] D& I/ J7 l$ s/ h+ |
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。* F' D5 q. g7 Y! Q- |8 ^2 S
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
! \/ Z1 d: i: d3 G4 }0 D"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050) ^. [: V* d% @3 y) K% H5 ?
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 $ l, Y1 {2 v4 w' H
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。5 [. r& X" R2 Q) y
微软站点安全推荐为2。
e: l0 f) T4 N* _"TcpMaxConnectResponseRetransmissions"=dword:00000001
1 S" M, Z+ m3 P/ Z/ n设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 6 Q0 B9 ]9 X' S: O/ e
"TcpMaxDataRetransmissions"=dword:00000003
% ]7 }; X3 ]! N) L* c6 Y+ \; ^设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
) R$ ^, n k# X0 X; D9 Z( g"TCPMaxPortsExhausted"=dword:00000005
' B: T% u) }3 }; x" L禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 8 `# }9 u, d9 a! ?* H! E4 V8 m
"DisableIPSourceRouting"=dword:0000002
& C6 k6 B8 L( S* |7 Y' ?/ c限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 a! w P- D2 [ N" s3 K1 L+ c9 \"TcpTimedWaitDelay"=dword:0000001e9 L9 C( v$ r2 O; R' Y% c5 R$ d
$ m. Z: R) _5 |, l: V; ~8、如何避免*mdb文件被下载/ p3 B3 M7 N8 C- `- s+ A
安装ms发布的urlscan工具,可以从根本上解决这个问题。
7 z( z2 D+ b, @9 c! q3 a! F# S! M$ X; B同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
B, U& o; D% H. A$ o8 p5 D/ {9、如何让iis的最小ntfs权限运行 % V2 y* D( [/ f( x! v
依次做下面的工作:
$ L% z D2 N* p3 w% }* x7 ^( F8 V. ^a、选取整个硬盘: $ C, Z/ T { S% _- C6 {
system:完全控制8 o/ C5 s- j' \7 E! u: L# v, q5 C; I
administrator:完全控制
& n& [9 F; E' Y. l: ]% `(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
7 h0 r/ T) _8 k$ t3 m8 k. Feveryone:读取及运行列出文件目录读取 # q9 H- X% p4 R! r5 t
(允许将来自父系的可继承性权限传播给对象)
7 `! K% h& L2 O# h' oc、/inetpub/wwwroot: 7 n. u9 v% v5 g7 n5 t% N, ?) v* e
iusr_machine:读取及运行列出文件目录读取
, E/ A; ^/ |& G: j(允许将来自父系的可继承性权限传播给对象)3 Z) N$ r3 E4 ]/ N6 l. j2 Z5 k0 z1 ^2 l7 d
e、/winnt/system32: R3 A; c) u) v; ~! A' j
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ' l; L- {1 j4 u7 N! i4 w
f、/winnt: 0 s% S0 Y" H- B* s
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ Z3 y9 r$ ]3 P& @- l2 u" l8 _6 F% Ig、/winnt:
+ O/ c4 ^2 F- o+ M$ f" B! x5 O/ ` 2 ]$ H, R7 @3 K" i
everyone:读取及运行列出文件目录读取" t8 W8 `7 x$ ~/ L
(允许将来自父系的可继承性权限传播给对象) . h2 c9 M" H) J; D5 x( q W( q
h、/winnt/temp:(允许访问数据库并显示在asp页面上) + @$ o+ a2 U# W# x* H( n
everyone:修改 # F- W3 k) {4 y( S0 Y7 k! w: R
(允许将来自父系的可继承性权限传播给对象)
/ w( W! o/ ^6 k; I10、如何隐藏iis版本
% N2 A- z" i4 }$ P- `一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
$ U6 t+ ?3 a- X/ x, \9 diis存放IIS BANNER的所对应的dll文件如下:+ k0 `' j* R. K- p" q
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
) U) h2 Z) {1 q$ uFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% |4 i) q6 H0 ?3 b7 n7 I' `SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
$ \& @ }7 g) D8 V8 L( e你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
7 L0 k- p1 x9 ?# f2 ^. I/ r具体过程如下:; S, [" @, B( h! l
1、停掉iis iisreset /stop
, F: A5 o( O$ h$ Q+ i9 B" c2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
8 W$ o6 m3 ?0 N' s4 @+ n2 h& f0 B3、修改 |
|
发表于 2008-1-25 02:15
| 