|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14249
- 金币
- 2415
- 威望
- 1647
- 贡献
- 1363
|
1、如何让asp脚本以system权限运行1 s6 `, ?6 T( t2 m3 `. \% ^# K
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
0 `! Z7 {0 \% u# y& e# N- g2、如何防止asp木马
3 J* ^( c5 U7 |, R2 {基于FileSystemObject组件的asp木马
) o" {, O& |; Y. Hcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
" }4 \; t' {- [) {1 n* [3 V" p; Sregsvr32 scrrun.dll /u /s //删除
0 S8 X" l5 \! N" k/ }基于shell.application组件的asp木马# Q) W+ X! C7 ?8 s
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 9 ^8 u% w7 s) q5 j4 f; F
regsvr32 shell32.dll /u /s //删除
( K- x* N1 g2 D: h% X% R: B. Q3、如何加密asp文件 " O" w* s [7 n& `& r
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 / r! G T- s& P
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。/ u2 V. |# K2 v) N% F+ Z$ V/ r
运行screnc - l vbscript source.asp destination.asp
( ]5 m3 n% z* u生成包含密文ASP脚本的新文件destination.asp4 g$ z& ]1 i2 N# {. n
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
% K$ i4 G6 f6 r9 ?! m* W但无法加密中文。
) E8 J* m8 O; p s4、如何从IISLockdown中提取urlscan
0 W; |( N4 [4 `: l- Hiislockd.exe /q /c /t:c:/urlscan% p: t! e! [/ p' |2 I8 r. M- }
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 9 `' }% C) d4 G7 E& A9 ?. [& e
执行 5 U6 B) S7 U, @9 t* c0 P
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
4 v( I* ^# N# O3 ]7 m最后需要重新启动iis 4 v& q7 l% W6 ]! Z5 y: n5 ]9 g
6、如何解决HTTP500内部错误
7 Z* y8 M6 y* y% v3 K2 M4 e. Diis http500内部错误大部分原因
6 R, d# H1 n# G( z% i主要是由于iwam账号的密码不同步造成的。
# U) I. W: z: {( }8 a% R% h4 @3 d我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
$ U p' ]& [, z+ j3 D+ W& Z执行 ) R Z4 A- G$ ]# _2 c
cscript c:/inetpub/adminscripts/synciwam.vbs -v
2 H; p, `; R5 p! h7、如何增强iis防御SYN Flood的能力# S% A* G8 b7 O( \$ M! {" X
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] : b: d9 Z# z# O0 g- C6 p
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。* K" z5 {- t6 s4 O
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。4 o7 Y" f1 s( X
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000507 s: Z: R0 F* ]; \6 }6 a
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
: }# Q/ y3 F# q项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
5 b$ w; X" V- p7 R, y2 h. `1 o微软站点安全推荐为2。0 j/ P& z6 ?8 j9 N3 K9 K, }
"TcpMaxConnectResponseRetransmissions"=dword:00000001 5 g! X' w1 l7 O
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, f# y/ I3 ~, S8 J W"TcpMaxDataRetransmissions"=dword:00000003
" }& F/ M6 n8 P- T; ~; w, d/ f设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。# p f6 ?! T, I! Q; V. Y
"TCPMaxPortsExhausted"=dword:00000005
$ I+ L2 |+ i9 n* Y( y5 n禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
; g5 A5 c; f; E4 h"DisableIPSourceRouting"=dword:0000002
+ j. Y% V% F4 v& S限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。) Y% E5 ^! ~7 a3 I
"TcpTimedWaitDelay"=dword:0000001e
+ F' G- D: R1 k- c: H% w4 z$ v3 X" [( ?4 p
8、如何避免*mdb文件被下载
- n, r2 L2 M' }4 ?& w$ E安装ms发布的urlscan工具,可以从根本上解决这个问题。
) a) e7 `; ~3 ?: n/ ?同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
9 D. p6 ~) P% D9、如何让iis的最小ntfs权限运行 / [( |# w+ H& t" P
依次做下面的工作:
) ?3 H+ J$ A$ I. K6 i. ba、选取整个硬盘:
4 P3 V9 D, m1 ~" G& V. V. V9 Ssystem:完全控制
# ]6 w4 N( ^" w, iadministrator:完全控制
. S. f/ K% y0 B4 R" x(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
: `2 w- `" r- I* j+ Yeveryone:读取及运行列出文件目录读取 / C; x3 G R6 R* M, l
(允许将来自父系的可继承性权限传播给对象)
$ R7 z, I' F$ E, D" [9 C( Zc、/inetpub/wwwroot: + P& C5 d1 \9 X- t) t% c; F
iusr_machine:读取及运行列出文件目录读取
7 h6 R& C8 d8 [2 p/ [. s# Q(允许将来自父系的可继承性权限传播给对象)
' l+ ~. y# O4 g! J$ X7 C% ce、/winnt/system32:
* ^( \% G* p0 ?: w* y u0 \选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 4 N* y( n+ _7 v t, i
f、/winnt:
! p7 \$ K+ }5 f4 W选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。5 V" ^9 k( v/ g3 n5 E" l+ @
g、/winnt:
* E8 |2 z/ H; _/ p
6 P# {$ {, L& R# f6 ?+ q0 }" keveryone:读取及运行列出文件目录读取( p- V* o4 E( ~4 M
(允许将来自父系的可继承性权限传播给对象)
) k8 L& @+ b* [6 \* Vh、/winnt/temp:(允许访问数据库并显示在asp页面上) - n; p8 Y1 ^9 k3 [
everyone:修改
+ a% U; x2 i, U; {& n& I) h(允许将来自父系的可继承性权限传播给对象)/ c( Q: a( i, `2 `. t% a! m
10、如何隐藏iis版本 6 |+ a0 d7 \% l. Z
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 $ {% J" T. {; J/ \
iis存放IIS BANNER的所对应的dll文件如下:4 l# s8 X7 W+ K( |: ]
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 8 ~! u4 X; Z" E- O, k5 `
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL# ?1 I7 I! [& B# y
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
! j X6 b8 t# b1 N/ R/ \你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 4 P8 P9 n, g3 h! O7 a5 W
具体过程如下:9 X" w( ^0 E( f+ p5 W
1、停掉iis iisreset /stop . X6 R3 c/ ]* d* g
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
! e/ v r6 C% Y7 L) F3、修改 |
|
发表于 2008-1-25 02:15
| 