|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行! x/ F1 ~; h/ e X
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 9 P0 y9 k) T& I) R' h4 p! X$ E
2、如何防止asp木马 0 Z, C4 d& C' G% v0 ?( t
基于FileSystemObject组件的asp木马 * c8 e4 E) i! f- ^# @2 o q% g
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用) S. @+ J- L; ^% M; {9 Y; {
regsvr32 scrrun.dll /u /s //删除
5 i" V- d* B+ v( G& f- T基于shell.application组件的asp木马
$ n8 E% \; \: ]+ ?% h+ Gcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ' z( ?$ b6 i- s! m5 s- V6 Z" a
regsvr32 shell32.dll /u /s //删除
& x' s# i8 X$ E+ E, ~3、如何加密asp文件
1 `- q: |. K2 f从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
9 {. N$ p; W, ]. V& j安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。# B0 u- F; m# c% x! T( I3 \
运行screnc - l vbscript source.asp destination.asp- t) z' x( n' j
生成包含密文ASP脚本的新文件destination.asp
0 P1 U x0 K: Y+ e7 }用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了3 c( `# N5 ~+ i/ \+ u+ i
但无法加密中文。$ f# ] `0 K( J$ x
4、如何从IISLockdown中提取urlscan ; \1 p5 v, t* H3 Y+ c4 i- m9 X
iislockd.exe /q /c /t:c:/urlscan
w$ q3 I$ s4 W9 x# O5、如何防止Content-Location标头暴露了web服务器的内部IP地址
8 r. \0 `: I9 B5 c' Q: s2 `+ B" C执行
0 g$ }2 N( F; q, ?cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
0 a% t( y t1 _* r% Q+ t6 x$ R$ l- e最后需要重新启动iis
# r5 u( H2 R2 X- P. f, ]6、如何解决HTTP500内部错误
- j5 X" V4 H2 q9 N% Y" {& Aiis http500内部错误大部分原因8 A+ ?' ~) S! L& P% Q
主要是由于iwam账号的密码不同步造成的。: F+ M0 Z6 |4 v3 |( \
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。& R( m4 G$ {4 { `$ g
执行
! S$ G) J8 R' e+ X1 pcscript c:/inetpub/adminscripts/synciwam.vbs -v
7 ]( A, Q- o# ]1 b) D4 a; a7、如何增强iis防御SYN Flood的能力
" `- q, k! R, U5 v+ `% HWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
6 W! \2 S. \1 X& ^, H" }$ B( l启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
( v3 G; I. M1 e' v9 [+ m"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。3 e2 g2 \* I6 j6 _) W) k% P6 l
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
3 F; |1 o) L$ C6 m: R! k$ p设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ! d* H5 W {3 x+ D( U
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。: R6 U' }6 k- t8 n3 b/ ?
微软站点安全推荐为2。! t# a2 ?1 e; M$ b: M3 }2 s
"TcpMaxConnectResponseRetransmissions"=dword:00000001 $ w# R2 u. B6 ~% V2 f" ?
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- @0 g( K, t- ?+ {1 ]4 X"TcpMaxDataRetransmissions"=dword:00000003
$ A5 Y5 w/ o' y a0 f' j8 i7 v设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
. x( M/ z9 a/ U+ X/ ["TCPMaxPortsExhausted"=dword:00000005 + b, |- F6 n# G1 T( z1 X1 w; l8 l8 b
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
% N# J4 q9 K! E0 y3 b; `4 ?"DisableIPSourceRouting"=dword:00000029 F( n& Q( H4 L
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
1 O* q3 L) S( [3 b* e"TcpTimedWaitDelay"=dword:0000001e/ T+ Z. O3 M% W. @8 {
( m1 z4 H6 V& q( U
8、如何避免*mdb文件被下载3 F9 ?: C( y1 |; S# r
安装ms发布的urlscan工具,可以从根本上解决这个问题。% |0 C( E$ i' Z- U- H
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
* r9 J6 t, N( G+ D4 I, g/ J* ?0 E9、如何让iis的最小ntfs权限运行
; G! J$ J/ z- ~; ]依次做下面的工作:
1 D, o6 M+ n) ` H7 j/ t/ }a、选取整个硬盘:
" F+ q# `. ]1 Y2 lsystem:完全控制% S) U1 K$ u9 q& o" m+ `' D
administrator:完全控制
! c8 u( P {/ E4 T+ ?$ \, U(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
4 ^ K: o M7 E( Veveryone:读取及运行列出文件目录读取
: q% Y4 S- u- T( e: W(允许将来自父系的可继承性权限传播给对象)
2 N- @( t% X, S8 G( j- ~: k7 O' lc、/inetpub/wwwroot:
{* D' ~/ @7 \0 {1 O& \; M4 fiusr_machine:读取及运行列出文件目录读取) S( w- l. }& q b! V6 q6 Z! j
(允许将来自父系的可继承性权限传播给对象)
$ L& W$ {! e! ^ ^& d% |; o0 X2 Se、/winnt/system32:9 A5 _2 l! n9 n1 }1 G5 v9 f5 j
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 J* k9 i& p4 x) b; r s7 w" S8 yf、/winnt:
; R1 n1 T- Y0 O" V" N选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
- l: z; X, V$ S2 \0 h9 W( e8 hg、/winnt:* \/ q4 z% U0 E Q$ g {1 y1 ]
1 g' x& f' }) e6 Q' W( }everyone:读取及运行列出文件目录读取
! n+ }: T3 L" w% T/ r: e(允许将来自父系的可继承性权限传播给对象) . c1 ^" {$ T+ v U; b% e9 P
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
/ h& ]8 Y6 i- {everyone:修改 8 _5 E+ m) W K y0 i. E |! X% g& y- ^
(允许将来自父系的可继承性权限传播给对象)' Y: Q: U& Y( v! n2 C) P
10、如何隐藏iis版本
9 N! E" ]$ ~% i# V一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
: \" d. ]" g1 j( j2 tiis存放IIS BANNER的所对应的dll文件如下:
! t8 e( L- R& D% K. EWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL : T. p8 o4 c: F+ l) I$ P! ]
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL3 B/ ^) d3 t- ^# D. E6 ~6 U& M0 q
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
$ a p" B# E2 c4 [你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 " H, E3 T4 C+ ^0 S; U" y( q7 r: E
具体过程如下: Q6 r! q* v/ h: w
1、停掉iis iisreset /stop 3 c) C0 ]; G1 [
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
I* P2 ]# N* _4 y8 A# E3、修改 |
|
发表于 2008-1-25 02:15
| 