|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行" ]; S" s0 o: l: p6 c1 w8 A5 F5 |
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 2 x: l- f/ z' Z P1 F- Z
2、如何防止asp木马
. m* x2 l+ l. Q基于FileSystemObject组件的asp木马 ! N# n3 Q4 {- g7 S$ P" d5 v4 h; P
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
v2 j8 Q" B1 @' Jregsvr32 scrrun.dll /u /s //删除
8 e D; |+ D0 f基于shell.application组件的asp木马
1 N$ V% r5 T0 F$ O1 mcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 % K6 a4 |6 Z; p0 ^5 `0 z. u& p _/ x
regsvr32 shell32.dll /u /s //删除 & N2 k5 z" Y( C: H: Y! Z, _
3、如何加密asp文件 ' c6 Q" j& l0 H
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
" b0 A# `, }* N# O安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
) r# Y; i" d4 d ^5 [5 G! }运行screnc - l vbscript source.asp destination.asp, Q4 O. {3 }, F' f# U
生成包含密文ASP脚本的新文件destination.asp. Y Q5 f2 [; U# S& ~% a& g% f
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
2 S* S+ k& M9 `# U8 c但无法加密中文。, M' l1 `5 T9 t) f1 S( k
4、如何从IISLockdown中提取urlscan
% M' n& J" x" ]5 oiislockd.exe /q /c /t:c:/urlscan7 Q5 N/ E9 H2 V1 r4 }/ n6 U
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 0 G7 B. T: ^' S, J3 o) V
执行 @5 Q8 N+ N( @/ _7 ]6 x
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True , |6 P* E& R" N }$ T& O
最后需要重新启动iis 4 v$ u' U+ p' n* T! a
6、如何解决HTTP500内部错误' t E3 {' \* Q- X$ B
iis http500内部错误大部分原因
% i# q- p- s% e1 o2 @- _5 c* G: j$ x主要是由于iwam账号的密码不同步造成的。
! t! f5 w! u; ]. R我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
& D6 e$ t8 {% L$ J: ~! g0 A# c! c执行
0 u- X; G6 j- }- I2 w/ zcscript c:/inetpub/adminscripts/synciwam.vbs -v
; B. o, X/ }- b8 i" k! ~0 W2 I4 o7、如何增强iis防御SYN Flood的能力# V7 F. i$ F8 t6 j$ @$ ?% i7 _
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
4 m& V1 `5 ~7 j6 G5 n$ N启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
' [3 V7 Y( S- K- J. C e5 {"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
' T O+ I3 v: X! ]& L$ O"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000500 z% @6 ~8 P) Y* K+ y J3 t
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 6 H; q {9 P: i8 b; M% q' E
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
' D M6 g, p" E1 H微软站点安全推荐为2。
5 E$ S5 s: j# v" \"TcpMaxConnectResponseRetransmissions"=dword:00000001
5 }( D: v6 |* V9 b7 n4 \设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 / i# K" T7 ]% T
"TcpMaxDataRetransmissions"=dword:00000003
! x" h0 D; [9 ?7 x设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
, D1 g- E) X* m7 T"TCPMaxPortsExhausted"=dword:00000005 ' m9 z6 X0 ~# q/ d3 C
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
1 U2 a P: y* l: S, m6 a"DisableIPSourceRouting"=dword:0000002
6 W' p* x. @+ r5 D1 @1 t限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
% P$ W* B2 ?. B* w% N. c"TcpTimedWaitDelay"=dword:0000001e1 T6 W" K: u2 t/ W5 }! ?
( i$ o9 r+ I; Y$ U5 E8、如何避免*mdb文件被下载
3 D7 T$ P& [# c. O6 I. i6 E安装ms发布的urlscan工具,可以从根本上解决这个问题。
2 t O0 u8 [6 K% n4 d/ u/ n T4 t同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
, {+ {3 m1 g; \" \0 x/ l9、如何让iis的最小ntfs权限运行
: n5 T* w8 z; O5 v2 V% f+ z依次做下面的工作:
) t8 G& Q& C+ B( Ma、选取整个硬盘: ) t; b: Z& J0 E9 D1 s
system:完全控制
5 F: Z9 [" ]. M4 e2 R: H. H5 Radministrator:完全控制2 F' ]$ i* Q5 p
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
" m/ v o: h# feveryone:读取及运行列出文件目录读取 8 e: A7 D9 o3 a) `
(允许将来自父系的可继承性权限传播给对象)
( V- e5 a* T- y# jc、/inetpub/wwwroot:
, G1 G& r$ ] {1 ?/ y/ s4 uiusr_machine:读取及运行列出文件目录读取
+ X; d0 x b' r. g% e i/ V) @(允许将来自父系的可继承性权限传播给对象)! s* ~1 f; e8 O9 E0 z- T( M
e、/winnt/system32:5 T6 K" w U! p* J7 b; I8 L7 b( o
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 # \$ r9 p& A: u( ?) `
f、/winnt:
5 G3 I1 x" N9 T$ Q* J9 F选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。0 b, u) c0 ~/ G5 @8 e- i
g、/winnt:
& C1 G7 y0 ?5 i2 F! }3 K' _
9 o( v" y( Z' d: R: y2 {everyone:读取及运行列出文件目录读取% u. W( I1 `: u% e
(允许将来自父系的可继承性权限传播给对象) $ t- [& L& c. {) A( X
h、/winnt/temp:(允许访问数据库并显示在asp页面上) 6 c. K4 z7 G5 A0 s* W
everyone:修改
0 W7 a- @2 D# x$ S: P0 \(允许将来自父系的可继承性权限传播给对象)5 U! a- _" ~5 a1 T- `7 ?* `/ s/ ^
10、如何隐藏iis版本 % J6 y* r( J5 u5 w u; l/ [
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
( E) H/ `# L* I: ^7 Q& X& liis存放IIS BANNER的所对应的dll文件如下:
" K8 X9 O1 V+ J: t" D- g. E) H ~WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 1 P6 R, @8 y" N8 f4 M2 n6 J
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL3 I& w/ i- }3 \! u6 N L: A# \" C
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
5 s. v& r5 ~# v3 t! Z5 W你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 # Z! Y) m- F- r2 k
具体过程如下:
4 X5 |' y+ w9 L% }! i3 n+ H6 d) y1、停掉iis iisreset /stop
$ f. z' k7 ]2 f2 u1 R5 @1 i2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件* i1 O2 d6 @7 O( Z4 w
3、修改 |
|
发表于 2008-1-25 02:15
| 