|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
( s$ g3 {9 c) K7 D7 _ E2 q; e修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ; I4 {% ?& h* b. H* Q2 C; y& k6 L" N
2、如何防止asp木马
& o- n$ F; E: V$ g: `4 |/ I s基于FileSystemObject组件的asp木马 ) `% l6 m0 B* H/ `( s; T
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用% S) M ~3 Q, [7 H3 ^
regsvr32 scrrun.dll /u /s //删除
" x9 a1 y$ x* \& o7 d基于shell.application组件的asp木马7 B$ I2 _9 Q |# o, H" s0 m
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
3 B: _) L# ]' E b2 Y6 l1 L- \regsvr32 shell32.dll /u /s //删除 8 y! q, q5 d, M7 J% F. P
3、如何加密asp文件
$ \/ P, g: x4 W0 t从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 2 _. ^7 b% }( {4 t5 j2 U+ J
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
4 D; J+ d- P3 T$ t运行screnc - l vbscript source.asp destination.asp8 r( Y) X1 S# {8 y% A/ m% R F/ D
生成包含密文ASP脚本的新文件destination.asp
1 g" E' D" W, m) f: J4 ^& J v用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了, B7 u. K# |) c- L5 D7 d5 X2 p6 p
但无法加密中文。3 t3 v4 u2 G; j( p8 C
4、如何从IISLockdown中提取urlscan 5 y# e0 e/ K' g
iislockd.exe /q /c /t:c:/urlscan
4 E3 B% F& }/ P/ \$ e/ u7 T+ l5、如何防止Content-Location标头暴露了web服务器的内部IP地址 , J+ c1 x# _1 Z: X. s2 I
执行 o& K" G) E5 S4 b# E
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
' y* g c" D5 o最后需要重新启动iis
6 [, }- R$ s) l K+ t6 g* f9 G6、如何解决HTTP500内部错误
4 ^9 i! n$ ]7 L' R( S' R; L- S$ \7 tiis http500内部错误大部分原因9 A9 I6 d `# J" D* q& U' p! B
主要是由于iwam账号的密码不同步造成的。
" a+ S0 g1 o8 f我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
0 s" ]# s0 b% V8 w+ S执行
/ Z% s: U q: \6 Hcscript c:/inetpub/adminscripts/synciwam.vbs -v" ]) O5 D/ d5 j+ _* H+ i
7、如何增强iis防御SYN Flood的能力
( X* l; a5 k; _ n( a. eWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] : W; I$ ^3 k: K- B
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。1 b% Q* R9 Y, Y5 v' x- \. i
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
; `# B; h$ t h1 d8 w5 o" _$ _+ D"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
4 ^$ }; k) {, h* O设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
5 S( ~+ i* J6 y/ B( ?" n项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
3 E! w' j5 V# O% s微软站点安全推荐为2。
* t3 g- s0 u" d. U0 f2 J5 y% b"TcpMaxConnectResponseRetransmissions"=dword:00000001 5 U* h; M2 v- }
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ( I7 O3 s' [1 s% a8 T$ S
"TcpMaxDataRetransmissions"=dword:00000003
/ D6 ^% T3 p* W8 y6 r7 I/ X( @设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。& j3 X2 Z2 d" R2 n! G( y/ P) N
"TCPMaxPortsExhausted"=dword:00000005
: E" ^+ i5 ?8 [7 T+ P6 p6 l: Y# b7 u禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ' j$ K8 M. I2 w' w8 t/ F
"DisableIPSourceRouting"=dword:0000002
: C' e* J% Y/ y0 z限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
9 }! R8 T, h4 `7 h' q"TcpTimedWaitDelay"=dword:0000001e
1 Z$ G5 Q% D8 b' L. M$ o7 q5 x# ]% l! o
8、如何避免*mdb文件被下载# W/ l4 U Y$ v! K2 Y' a/ F& }0 r
安装ms发布的urlscan工具,可以从根本上解决这个问题。
% b: h0 y ~9 x- E) K同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
8 Y3 O2 A, w+ O5 B4 W9、如何让iis的最小ntfs权限运行
4 o- s, n; y" I M1 f( g依次做下面的工作:
. L/ M2 C9 t! ?% A% E8 x" la、选取整个硬盘:
: \. |9 F, B! I- `7 w H, @+ t# E* Asystem:完全控制" }" `! \9 b( d
administrator:完全控制
3 J. _+ J, ^. y7 B4 U! U5 n(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
% }) X- ?! _5 R- T, x! Ceveryone:读取及运行列出文件目录读取 7 U+ @- }/ @5 G! o$ ~. u: ]+ V
(允许将来自父系的可继承性权限传播给对象)
9 g% f7 L2 G% l$ M2 r, N" c+ nc、/inetpub/wwwroot:
* G$ @+ m5 P; t' e. U6 J& \$ iiusr_machine:读取及运行列出文件目录读取
$ u, M+ X+ k: ~1 ?$ Y5 y1 `) x(允许将来自父系的可继承性权限传播给对象)
) d/ _, M/ p/ Y8 V' ]0 ]" ce、/winnt/system32:
. T5 n6 m3 U, o" J8 l6 G' T5 }. O4 G选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 7 C# D& c5 \% k
f、/winnt:
3 E! w- G+ Y, H9 f( h选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。. H' t9 o7 ^+ @3 M4 F$ ]1 F
g、/winnt:
/ M2 Q- a* X: u- G1 \ ' i p" k. x/ b0 Q1 r: e
everyone:读取及运行列出文件目录读取
' [ x: j. E5 L(允许将来自父系的可继承性权限传播给对象) " X' s6 h+ M8 z/ @
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
+ H; I D! |9 H9 y7 l1 Jeveryone:修改
8 U' r8 R* m( O" Y(允许将来自父系的可继承性权限传播给对象)
+ s) e* O4 \+ e' V5 r10、如何隐藏iis版本 / z5 \2 I5 K* `+ t& [' O
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 , M( D! p1 f9 m4 F9 C# M0 z- \; m
iis存放IIS BANNER的所对应的dll文件如下:9 Y; f* X# J9 j2 {: D6 A
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ) k$ x3 [& `, o# q4 Y5 Q2 k
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL( y) [) ]7 r: L3 S
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
; y: r9 @: B( c) n7 k) k( a你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
, Q$ }) q* ?0 z/ z8 Z# |具体过程如下:
* \- Z: [* P9 h6 B! i+ e1、停掉iis iisreset /stop
! \2 F# ~. l* H, n) F# E) D2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件. @1 x" W0 ?7 O% H2 ~
3、修改 |
|
发表于 2008-1-25 02:15
| 