|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行* I/ O9 G) Q2 J9 X
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... - o: X! m& J3 u3 t
2、如何防止asp木马 ) d# O. U! ~4 y0 Z3 l! \
基于FileSystemObject组件的asp木马 8 n0 V. S6 j) }! P: g- x
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
) O! x" U2 F/ ~- [9 Dregsvr32 scrrun.dll /u /s //删除
3 z: p% P- v3 R) M) e' `& V1 S6 [基于shell.application组件的asp木马0 D0 O: q7 t& _* m0 W
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 9 {: a& ]: |* G0 O
regsvr32 shell32.dll /u /s //删除
7 ^& ?# q3 S7 @6 f3、如何加密asp文件 # U2 I) O: f8 B
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 . {" t3 J3 k# |
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
6 w" l4 J, |* M运行screnc - l vbscript source.asp destination.asp6 h& m7 E* n- c' l/ `3 j# D; z
生成包含密文ASP脚本的新文件destination.asp
- n9 a4 c7 L9 y6 ~& ?用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了) n- g- V5 f/ T J0 u8 t
但无法加密中文。
; {+ b/ `. P* f4、如何从IISLockdown中提取urlscan
! G1 n! A* k: E+ n6 W# n3 K2 h hiislockd.exe /q /c /t:c:/urlscan2 W% _/ V. }& c" _/ f% t
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
+ ^9 s5 C$ J+ B0 j' I! n3 f b执行 + N6 ~/ B1 w! o: ]0 P( E ~7 k( |
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
7 c1 U# y7 x$ C+ a最后需要重新启动iis . } D) k! t; j [( u
6、如何解决HTTP500内部错误
: \! S& k5 A( U. Viis http500内部错误大部分原因, \$ w" n2 |" q
主要是由于iwam账号的密码不同步造成的。
0 X7 Y0 Q& A. e) `) j* u我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
( H0 j, t. H8 E% z& R2 b8 d8 E' [执行
( u2 D8 t% p4 E$ d4 R# P. qcscript c:/inetpub/adminscripts/synciwam.vbs -v
( h% a- R# j$ ]1 V. s7、如何增强iis防御SYN Flood的能力
/ t6 M2 ~. R4 C$ x) CWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] # o4 m" |* r4 R5 z( @6 g
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。# X0 b8 k* h, r
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。. l" I/ X, ^' E5 O
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
; A2 v' P2 L" K% T设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
: o7 j* y/ I' m8 g( w1 m/ W项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
% O( C( p, U; P0 Q$ I# q( s微软站点安全推荐为2。& v5 R$ ^9 H, O/ t, M, V: C
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ! a' b/ }' ~* t w( q Q
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 # d* G% l D: H+ I- S7 W
"TcpMaxDataRetransmissions"=dword:00000003
P* o- F5 n. k* ^# U; ?7 ]) Z设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
- t) R( }4 o8 ]% G. {# { @"TCPMaxPortsExhausted"=dword:00000005 & R6 Y5 C0 m& Y# Q9 x' ]/ M
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
% d _ Q$ S. U6 ]! w `"DisableIPSourceRouting"=dword:0000002
2 C& l9 a5 D. {; Q1 c限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
3 n: k" A' j- A4 W2 U. j* b"TcpTimedWaitDelay"=dword:0000001e
8 w+ S D1 G( X7 Y6 v) C! |. Y
& S( \7 Y5 K8 F; G9 n3 G8、如何避免*mdb文件被下载
2 d3 p5 o) B" D; j4 t$ q安装ms发布的urlscan工具,可以从根本上解决这个问题。
V) k$ c: y8 t同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
3 E" w# q" b# q) E+ W) H/ g9、如何让iis的最小ntfs权限运行
d' y5 s J& R依次做下面的工作:
* ]% v7 Y- q U( X# |- r- Ia、选取整个硬盘: 7 m$ L3 P: f4 `( Q; t( M7 i3 B: |. r
system:完全控制6 U- F5 {8 O+ I1 _) e2 R& W
administrator:完全控制; o* Y1 o6 H" u) p @
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: - x& }. S. b% b; o( @
everyone:读取及运行列出文件目录读取
' {# a/ Y' n- t% q7 H+ M(允许将来自父系的可继承性权限传播给对象) 3 \3 m0 R. \6 W/ F: G7 {: d
c、/inetpub/wwwroot:
$ O, \! T$ W9 r3 qiusr_machine:读取及运行列出文件目录读取
! C+ v$ V' W% g' l8 m5 X(允许将来自父系的可继承性权限传播给对象). p" Y6 C$ ]& ?( o
e、/winnt/system32:: _: U' Y+ r* X- M# {) N" C
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 9 |% ^1 N: ?; G' {2 U- m% H& _! W
f、/winnt:
" j: T/ R3 q1 C% D* F( E" T选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。. j; C* _1 N$ H2 f+ Z
g、/winnt:! {7 P/ F z- Q4 }0 t$ h5 o* ^. X
/ _ }; v+ a6 @0 p3 j* z' Teveryone:读取及运行列出文件目录读取2 q2 p4 g6 @! P
(允许将来自父系的可继承性权限传播给对象) 1 J$ @% A w/ F Y
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
" r) y$ k: C2 o y; `; p3 u5 ~+ _everyone:修改
. \: e' L. r& n- B" e+ {) Q8 q(允许将来自父系的可继承性权限传播给对象)1 k. R, X- @& s' @2 z# K$ I c
10、如何隐藏iis版本
2 k: H2 _' S& O5 T+ R一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
" R3 l& [# u9 S3 M; m3 q: T" ~( @% D) Biis存放IIS BANNER的所对应的dll文件如下:
) ~/ Y$ N) S( t: WWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
+ D/ C6 |% h6 [FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL: ~& Y: U6 H9 z, G
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
' P7 ~1 O) a- L$ @$ l, {1 O你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
) G# G6 k7 J0 i7 O5 Q5 g# y具体过程如下:
* B' T+ A" s3 S* U8 F( {1、停掉iis iisreset /stop
9 D9 p- J+ B* w- j7 `& c- Y2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件( O! c9 a6 b" p* ^1 r j
3、修改 |
|
发表于 2008-1-25 02:15
| 