|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行
4 i5 |( B* z0 s6 `9 Q) `0 Y修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... , N; b; W% C5 c) G1 ?& r2 w
2、如何防止asp木马
: m! e, Z/ p# u! H; G基于FileSystemObject组件的asp木马 ( X- i3 B5 h2 ~ Q' b% r" j
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用: J3 @: t6 U+ F6 z8 u! F; ^
regsvr32 scrrun.dll /u /s //删除
3 C# ^, `' Q K- z' s基于shell.application组件的asp木马
& Y# f% ^0 _# ^( j* H1 Tcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 1 ~7 M0 Y3 Q% s9 B- l$ c
regsvr32 shell32.dll /u /s //删除
8 I+ M* a* O* }& q3、如何加密asp文件 " j! x9 |% w" H o* S
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 $ E( d' g2 d% w* W2 o( k# T
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。+ {$ j2 {5 }8 X
运行screnc - l vbscript source.asp destination.asp. n' e& D/ u( ?# ~" I
生成包含密文ASP脚本的新文件destination.asp. P/ \8 Z. T3 r0 n! P% l) J
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了3 W- `6 i5 ~9 O
但无法加密中文。9 t' J$ d% ]7 S5 w6 k
4、如何从IISLockdown中提取urlscan * _7 I5 i0 M1 o% m3 ]2 S* [
iislockd.exe /q /c /t:c:/urlscan
' c7 Z: R( h2 X( D5、如何防止Content-Location标头暴露了web服务器的内部IP地址
0 M$ D4 \ E8 b# R8 _执行
$ b7 s0 S2 L4 T9 T% Jcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
: D* n i, [! Y# ]最后需要重新启动iis & _5 n4 T# V+ `: G: B
6、如何解决HTTP500内部错误
6 d% K. G2 t9 V( niis http500内部错误大部分原因
" g% c; e6 E2 N t% |主要是由于iwam账号的密码不同步造成的。
3 Z3 |, g9 G* h, k我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
+ P7 q9 @' z8 E' N$ e( @执行
0 _- @- N& z* Q2 p/ Q3 D% N2 B. lcscript c:/inetpub/adminscripts/synciwam.vbs -v
+ t( M: b: P/ `9 j: {) A7、如何增强iis防御SYN Flood的能力/ R& z3 c% t. r" _& M' K
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ) n5 Q# w8 d1 e, Y7 @& S* ^* l, a
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
2 V% }- \) a. w9 Q. Z; S"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 {* T7 Z$ P4 U1 m. ]3 y: {6 r' a"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
. J5 V( ]0 L* J: K3 `设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 & B* D& u6 I `- p% F" M7 o
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。" Q0 r& v$ g: Q1 o9 D. m& }
微软站点安全推荐为2。) I# }6 X7 {9 Q, e* I+ K
"TcpMaxConnectResponseRetransmissions"=dword:00000001 2 W2 k- @4 h) B2 J D; g" |
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
) n G; P }* Y9 s2 u# f"TcpMaxDataRetransmissions"=dword:00000003; x9 y0 q: Y5 D$ f$ C) l0 h
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
& Z8 b4 ? O) |* R$ i"TCPMaxPortsExhausted"=dword:00000005
}0 `3 Q8 T5 x. V" d3 b禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 * {3 _, m g6 R! ]
"DisableIPSourceRouting"=dword:0000002
* l" O9 p* M! B* S7 q* {8 p限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。! `1 B$ a1 I k. G$ x; \3 v _
"TcpTimedWaitDelay"=dword:0000001e
% Y: R2 o6 c( A9 F+ Q
8 r8 Y3 g0 u* h6 u2 \8、如何避免*mdb文件被下载
4 K/ i4 J z5 I% I1 X; c, a安装ms发布的urlscan工具,可以从根本上解决这个问题。0 Z6 I: Z* ]5 ]3 f6 T& c! S
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 * U1 O: f+ h- |' F6 M `
9、如何让iis的最小ntfs权限运行 & f" O* v! @! N0 t! x
依次做下面的工作:
1 V& B7 `) ^) {2 C# ea、选取整个硬盘:
( [; M6 ~9 `8 ~4 c! H& wsystem:完全控制0 h- X$ l* m1 [! p: T1 N
administrator:完全控制. X8 j7 R1 P. E8 M& P$ q2 T( [# ]
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
$ R# O: z0 K1 \7 h$ s8 F/ Jeveryone:读取及运行列出文件目录读取 1 P. p# V" b n" \+ l: j
(允许将来自父系的可继承性权限传播给对象)
6 \+ r/ e2 G) G _) nc、/inetpub/wwwroot: , A; q. G( j* j6 n' e# H; j# p& }& Q
iusr_machine:读取及运行列出文件目录读取$ K+ }8 H! E3 V* m
(允许将来自父系的可继承性权限传播给对象)
; D0 L& h5 X2 {( A# S4 Ne、/winnt/system32:6 B2 j. A- W8 H' T8 D3 g
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! w0 n# C f6 z$ z& s% i% pf、/winnt:
$ `3 p4 f; \/ ^选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。0 }' I4 l) Z0 W# U9 @5 G
g、/winnt:
" } ]0 H+ c# H% z* l
* L' n7 i8 J J- F0 l4 D) ?4 Eeveryone:读取及运行列出文件目录读取 V+ [6 I2 D) L7 M3 Q3 u% P R
(允许将来自父系的可继承性权限传播给对象)
6 Q+ F6 a9 Q, Y$ t; }* wh、/winnt/temp:(允许访问数据库并显示在asp页面上)
% j) E5 T8 }! zeveryone:修改
3 j( m7 m2 h$ P4 _; w& ]. R(允许将来自父系的可继承性权限传播给对象)
8 L# ^5 ~% Z6 H10、如何隐藏iis版本
/ b4 a. ?5 H# M' K0 c) g一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ; w$ T1 ^0 L- ~/ Q. m" V
iis存放IIS BANNER的所对应的dll文件如下:$ d3 |) Q3 T% D5 Y5 S6 z2 X; u0 s
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ( q* p2 N2 c4 a& Y+ F/ H. q3 x; j
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL4 {: G" }" k+ C6 G, C8 A
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
- @! k2 C8 C* ?# P" f# o你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
+ W- A" k5 w+ U4 Q: Y具体过程如下:
+ Y. P( y1 C0 b. }1 I" K1、停掉iis iisreset /stop
6 E% j) }( G- B* i; a0 S- n2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
. }9 l* e7 c+ S$ P2 @6 E3、修改 |
|
发表于 2008-1-25 02:15
| 