|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14163
- 金币
- 2372
- 威望
- 1647
- 贡献
- 1320
|
1、如何让asp脚本以system权限运行" {7 G' d5 b1 D/ m/ q" P
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
) G6 Y: N" B" t$ Y1 S6 w8 F2、如何防止asp木马
5 c% u( D3 |0 X) p% v/ @; w5 K$ u$ m基于FileSystemObject组件的asp木马 0 l* U! L5 }1 t5 i: r+ C. {) l
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
8 p6 b2 i, I3 F& ^! Eregsvr32 scrrun.dll /u /s //删除" ], I8 w* j' u: K: d* H* U
基于shell.application组件的asp木马
9 ]2 s$ |$ r+ }7 b `cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 - {7 ^- ]) K4 ]+ W/ {4 ~# j# N5 X$ D+ C
regsvr32 shell32.dll /u /s //删除
0 s* ]/ h& B) b1 I& z0 d' g8 v! {3、如何加密asp文件
# m9 v! L1 t7 ^2 j( o" g, S7 a: P从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
8 ]; z, N5 P0 B" Z安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, N# J' n2 ?: I, w* ]2 r# g; ]运行screnc - l vbscript source.asp destination.asp. |3 ]0 ?4 W* k0 D- [
生成包含密文ASP脚本的新文件destination.asp6 m1 L! \- ~5 [; N W$ \% m! T; _
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了; _( i2 L2 R9 K- f2 A8 b1 l. C9 Y: Y
但无法加密中文。, X7 e& N) U5 x7 m
4、如何从IISLockdown中提取urlscan
# `0 @1 G q- x9 g, `iislockd.exe /q /c /t:c:/urlscan
/ R7 V6 q8 ]+ F! h$ `5、如何防止Content-Location标头暴露了web服务器的内部IP地址 0 E& S: Q% x" v& o7 f+ v: c+ r+ k
执行
6 [: I9 U5 I @; ^& ^9 U4 ^+ u; Pcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True ) D i1 U/ d. N/ z$ R
最后需要重新启动iis 1 f5 P, ^0 ^. I; R8 P+ w; h- f
6、如何解决HTTP500内部错误
& l1 k. X1 h" r# R' @/ Liis http500内部错误大部分原因' B' R7 z# @, B, g
主要是由于iwam账号的密码不同步造成的。& k& Z% D7 L, z
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。7 u8 T+ M: F) V b4 Z( {7 s
执行
+ j( G7 C# D6 J- }+ |, }cscript c:/inetpub/adminscripts/synciwam.vbs -v2 H7 M9 ~: e0 u
7、如何增强iis防御SYN Flood的能力& x, S. w+ I5 y0 J* x8 e4 G
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
0 r( n5 ^) C3 c' v q& H启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
' h' p7 y4 t7 u: P7 I! ]8 Z' w& |: y"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。0 [) `0 R0 e2 Q1 ?
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
! G% w8 y! {$ g% ~设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' W1 b: O/ O7 S8 J项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。+ Q1 p3 z3 b J7 T+ n; C3 j8 R
微软站点安全推荐为2。) X3 ?# I0 K% _5 Y& N
"TcpMaxConnectResponseRetransmissions"=dword:00000001 $ S/ c: T! ]! L7 x' {
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
& @8 ~8 B& s& p' f# X6 }"TcpMaxDataRetransmissions"=dword:00000003
+ i5 D9 |- D [) @; ]. ~, \ R! n, r设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
* U: Q3 E. v8 v2 V2 L"TCPMaxPortsExhausted"=dword:00000005 7 a% L6 n( a; S4 F/ ?+ A
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
! ^5 g! |$ r/ j d4 X"DisableIPSourceRouting"=dword:0000002
/ k0 I H) h0 f1 Z. k8 w. e6 d7 f9 v3 u限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 r- }: _; e. T+ I8 X) c% q" y"TcpTimedWaitDelay"=dword:0000001e" [& D$ Q# m: s$ _5 l1 F9 `* ^0 ~3 ^
' T' s, e5 m- Y; @8、如何避免*mdb文件被下载
! y6 o, a; O' i: y9 t, _; Q" Z3 H安装ms发布的urlscan工具,可以从根本上解决这个问题。
" p$ a6 C/ D1 G6 F; L. M同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
7 t# X; z0 _. u& x5 ]$ F; h9、如何让iis的最小ntfs权限运行
0 t/ _* q* c7 T* [依次做下面的工作: 9 e/ H* b; g7 a& h4 C: c' q; m5 a6 G
a、选取整个硬盘:
9 ~' ]1 c- |' l" W2 \7 w" \" ~system:完全控制% h$ x7 r6 ~4 T* i
administrator:完全控制, w& t S# ] \8 w
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: : n( ]* p2 a' W7 {- y' ~$ a8 ?
everyone:读取及运行列出文件目录读取 ! @' G2 K# H/ s; F4 j2 B* N; ^
(允许将来自父系的可继承性权限传播给对象) 7 |# d4 V" @' \/ j. _' p; \; A
c、/inetpub/wwwroot:
* h- m/ ^5 I ^) hiusr_machine:读取及运行列出文件目录读取. _/ Z( O" U9 O# j
(允许将来自父系的可继承性权限传播给对象): v5 i$ R. i$ k# n9 z% [1 j; E
e、/winnt/system32:- X8 B/ r$ \/ T! F+ Q
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% l* J' w& \* Sf、/winnt: $ I* T( x" H; B1 {/ r/ p
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 k$ e& Z0 _ l, ^% e' r! Y! n+ Rg、/winnt:
( U6 W4 K( U7 ]- B' R 7 H6 M" U. g: w) q
everyone:读取及运行列出文件目录读取8 t6 }5 Z) d( y
(允许将来自父系的可继承性权限传播给对象) $ q: S$ k) L( W
h、/winnt/temp:(允许访问数据库并显示在asp页面上) ) V3 g% M' Q7 V5 h8 g0 ] o
everyone:修改 - \3 j9 J, L6 u( \& y- P- [) ~
(允许将来自父系的可继承性权限传播给对象)
! K& e# @% e. L" s b* h& F- l10、如何隐藏iis版本
% n) q' d. X9 R( L1 e2 ?! ?) Y一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 , ~1 L2 _- u3 f$ y. d$ {
iis存放IIS BANNER的所对应的dll文件如下:
1 g- f% n! L9 Z2 SWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ! o7 o1 s2 M2 z1 m
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
2 }! `) o ~5 T" W7 P' c l l: }SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL ) j5 N0 V) d) T: Y F
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
& S5 F6 f6 y3 }; Y$ o% K- Y$ x具体过程如下:, z# v7 ]+ _" S) n c
1、停掉iis iisreset /stop
, N! S$ t: L4 @. v/ i2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
* b C5 b* S5 [1 K- z7 E& }- j' ?5 b. P3 ?3、修改 |
|
发表于 2008-1-25 02:15
| 