|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14323
- 金币
- 2447
- 威望
- 1647
- 贡献
- 1395
|
1、如何让asp脚本以system权限运行
% T# C D# m, }8 m: U修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 c1 Z' {7 i8 Z' @! ~% d2、如何防止asp木马 3 L$ G+ I4 n0 q# y: x+ v5 ?- h3 |
基于FileSystemObject组件的asp木马
' |5 \& O- o1 |- S; vcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用* ?: ~- S1 i/ [9 d' M* [8 E& x) I
regsvr32 scrrun.dll /u /s //删除- M* M% C; o" ?2 |1 Z4 A2 i9 ?
基于shell.application组件的asp木马; q ?5 w8 a; ^1 i
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
Y, Q; [& b8 d5 h! ]3 Y+ @regsvr32 shell32.dll /u /s //删除
4 M: D" m" v6 A3、如何加密asp文件
: T3 h3 N! F% h8 C从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
9 Q; |5 o1 [! b9 @* f安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& I3 r6 ]- S/ ^, q运行screnc - l vbscript source.asp destination.asp
1 s0 e7 s3 I; y8 c生成包含密文ASP脚本的新文件destination.asp
% |4 k, C0 H* X+ F, ^用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* q" W$ g5 l4 m但无法加密中文。
4 `+ G/ x# K d* ]1 v; q8 X4、如何从IISLockdown中提取urlscan
+ T4 y! s- V" s" g; j/ i& viislockd.exe /q /c /t:c:/urlscan
9 i( M& F$ g" H5 }" O5、如何防止Content-Location标头暴露了web服务器的内部IP地址 ( L" g: W9 S9 z. E, j4 F) Z& a% C
执行
3 J. j# m% }" |$ _1 X1 |cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
' R* m, R5 f% ^5 `最后需要重新启动iis ; {2 o4 i$ D1 C+ K. r
6、如何解决HTTP500内部错误
) X8 I- S- c; L) _% N! Yiis http500内部错误大部分原因
& @' B, C+ P2 M9 S- X主要是由于iwam账号的密码不同步造成的。
% ?3 { N, E3 O; Y; l- n我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。' M, L. Z, r. e- ~$ S
执行
* ?! Y; {$ i( K. m1 ucscript c:/inetpub/adminscripts/synciwam.vbs -v0 H1 p! S* S1 N5 p# a
7、如何增强iis防御SYN Flood的能力
5 V/ D- w+ `0 e- b# M$ b( Z. @9 `Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
; b* E; z0 Y3 x% z. N启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
! ~& a7 q- R+ c/ _) E3 W& T' e% B"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。' O2 E# q1 g- e9 b5 w: C4 `. O
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000509 l2 H5 z* X0 a u' E' n
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 - P3 U( c0 G7 k7 [
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
- q4 b& O% z q# O2 u- J6 F: V微软站点安全推荐为2。* p- ?/ Z, h# K( {2 J0 G
"TcpMaxConnectResponseRetransmissions"=dword:00000001
. Y/ M5 Z6 Z( R* X& F0 h设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
6 J4 N7 A# u; i! G$ i6 M8 k"TcpMaxDataRetransmissions"=dword:000000039 c; H/ b# P2 _' R3 B, ?
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。5 H0 R# _2 |; t' s* w: u @
"TCPMaxPortsExhausted"=dword:00000005 5 B8 d% G3 T' X6 o: Q
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
* S$ j8 |9 n& E" q; A x) \"DisableIPSourceRouting"=dword:0000002
2 ]! B9 t1 e% |' T- w$ L" X) Q. y; @限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。5 H; L: @- m. P( D% s# s/ p8 r( C0 ?
"TcpTimedWaitDelay"=dword:0000001e5 L, b: v4 x' c) j$ O3 k
0 f: c1 D9 Y/ {( Y' f% q) ^
8、如何避免*mdb文件被下载
- z# e9 T6 k) L& R4 H安装ms发布的urlscan工具,可以从根本上解决这个问题。2 q, m- s$ S ]6 v0 W6 K
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 0 `7 ^6 P1 z2 W) h G% y
9、如何让iis的最小ntfs权限运行 7 u. r% @* ~3 I. _& g
依次做下面的工作:
! N$ h8 o( X+ z- Va、选取整个硬盘: + `% n8 n7 E) P) q; j
system:完全控制
* |$ ?, H/ x* @; ]) f. Oadministrator:完全控制
/ e* L6 R' c9 q" o# T3 R1 J(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 6 W6 }& a' r) g; @6 U. _: |) w
everyone:读取及运行列出文件目录读取
: ]5 m, k( a) @$ ^' L0 u0 ?(允许将来自父系的可继承性权限传播给对象) - ?! H+ ]! S& m- d1 M. E
c、/inetpub/wwwroot: 7 G4 G, v9 F- H) S
iusr_machine:读取及运行列出文件目录读取
: J1 E3 [+ |5 Z(允许将来自父系的可继承性权限传播给对象)
# v( _3 g: H+ b: {e、/winnt/system32:
1 T+ w9 s. x, _( E( q2 Y选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% q# `+ m( O& E( d1 F) U- f1 r, jf、/winnt: : n: r$ J: D7 j
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- A8 o2 K9 e2 F5 e
g、/winnt:
7 t8 \2 u7 u3 R2 ~2 ~4 W0 h( q 2 @. M* R+ t6 c" F) V
everyone:读取及运行列出文件目录读取
! a" y& U5 H+ z2 K' @, ^% B. N(允许将来自父系的可继承性权限传播给对象)
9 q; r, s! R3 q1 { ^! p* Sh、/winnt/temp:(允许访问数据库并显示在asp页面上)
8 N* I# S7 x/ x r" x/ Heveryone:修改
7 J: z9 x) g0 Q, b; R- B( p( N(允许将来自父系的可继承性权限传播给对象)
6 u$ a: I. s1 `' B" m10、如何隐藏iis版本
) g% t/ N. W( e; D/ K6 {一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 8 z! z8 K5 i, _, d* r7 X$ J
iis存放IIS BANNER的所对应的dll文件如下:1 W1 \9 p, j. ?. O; N4 a$ ]/ A$ t4 n
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 8 p% y4 x% ?* B% {: |6 p
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL3 z3 s4 r! b+ Y
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
U$ E1 U! s7 c你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
7 H& F. X0 f. A3 f% V' [9 i! ?具体过程如下:% Z n+ \; x; C. o
1、停掉iis iisreset /stop
' T/ ?( k+ u4 Q/ C ~" a2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件* Q4 Y! c2 g* O B M# d B
3、修改 |
|
发表于 2008-1-25 02:15
| 