|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14191
- 金币
- 2386
- 威望
- 1647
- 贡献
- 1334
|
1、如何让asp脚本以system权限运行
) P, x& {! ^4 s9 I0 s修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
, _0 v" H. w! X! L) p- ^" m2、如何防止asp木马 & t o* P2 r1 z* d
基于FileSystemObject组件的asp木马
, h7 r: J. z0 |5 p$ @cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用. q9 w c- v4 n Y; ^3 l. Q. ~. |
regsvr32 scrrun.dll /u /s //删除: e- t, a3 `2 ]5 L) D
基于shell.application组件的asp木马
6 y: s3 ~ P) K! o) _cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 # l2 B& a" a$ b9 W% r2 d2 p! o" J
regsvr32 shell32.dll /u /s //删除 ! A9 y2 I9 l( ^: \4 C( Q
3、如何加密asp文件 9 Z9 ]' h# p. }# S6 w( P9 m" F
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 2 S6 z3 O# G Z9 z5 a& H: A
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, Z0 P, q8 d& ^: I/ K/ G3 o! E+ K运行screnc - l vbscript source.asp destination.asp
) D x- ?# D& T& _' j: ~5 Z生成包含密文ASP脚本的新文件destination.asp
! O5 o$ ~4 _- s- z3 B' {用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了( L0 {8 U% J4 U! H1 v% O; }
但无法加密中文。
& L& v, M5 n+ a+ c% D) _6 [ o4、如何从IISLockdown中提取urlscan
7 `, P# K. A, n) Liislockd.exe /q /c /t:c:/urlscan& G/ {8 V& P* R0 h" v& H. M) q
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
$ M8 z, a: W% p5 x# T执行 0 D& h$ ]# H& i! h m" d/ d
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True }9 l, @7 n7 g' d0 y
最后需要重新启动iis 0 p. ^" `% J, Q& e7 b( Y8 Y* {5 a: X
6、如何解决HTTP500内部错误
# W, q7 z* G1 Z, i& U; P4 |iis http500内部错误大部分原因
! c8 I1 H! ?. m主要是由于iwam账号的密码不同步造成的。+ p1 ^& O6 w: U$ }0 M
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 k" i: c5 ]2 z% o' A4 N' r K执行
+ a) P4 A! |4 e0 D! Qcscript c:/inetpub/adminscripts/synciwam.vbs -v0 B& G$ B2 z2 |4 d
7、如何增强iis防御SYN Flood的能力, L2 R) R5 ]3 G" W+ b
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] : Z7 ?) r9 U8 k
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。- B! q `" e( F- N) O# C; E; [ ~
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。* u. F; k* a0 d, p
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
3 v) i5 A1 R" ^' O1 l设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ( [, L6 w, M/ }7 _
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
3 ~' o0 A$ ]# O* t- p微软站点安全推荐为2。6 v% I5 H4 V8 l6 g. i
"TcpMaxConnectResponseRetransmissions"=dword:00000001
( m! S7 [8 h1 g3 W, T/ d6 c设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 1 ?% a( t1 D8 `$ R& X4 w1 X
"TcpMaxDataRetransmissions"=dword:00000003
! b& i) ?& T1 O6 {( c( J3 E8 H1 k7 H设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
4 {( k+ d8 r; [/ U# M" F9 s"TCPMaxPortsExhausted"=dword:00000005 1 @- Y* E: c- ]! N
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ! l2 z0 d; |8 l( ]7 j
"DisableIPSourceRouting"=dword:0000002+ Z+ ^6 P0 l. ]+ p, w y2 i+ e
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
G* j3 w) ^+ v. _"TcpTimedWaitDelay"=dword:0000001e
2 l: t& k( H0 h& E3 c0 t/ k2 d( c) i- c& Y7 J
8、如何避免*mdb文件被下载
5 `1 t2 i7 m- `, O# x安装ms发布的urlscan工具,可以从根本上解决这个问题。8 V6 C6 O; S7 f9 _
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
& D+ J2 Z0 V# `& v9、如何让iis的最小ntfs权限运行
- n5 W/ \* u9 {$ u+ a4 Y( w依次做下面的工作:
5 S. e+ j/ X: q9 K P1 x4 j9 T8 G8 e" `a、选取整个硬盘:
- i4 R8 G1 [6 z, tsystem:完全控制
@5 S6 p2 U3 W. q7 v3 h" cadministrator:完全控制
: B5 @! E) k. C( r" U(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
# S7 T4 {! C# l8 h# T. Y% e4 `everyone:读取及运行列出文件目录读取 ' l. k+ F' X. z" Z# `: O
(允许将来自父系的可继承性权限传播给对象) + L4 D! ~# u! E1 a- C- q3 A: Z) {5 P
c、/inetpub/wwwroot: . c# D- B- n; t! {/ s7 W& Q
iusr_machine:读取及运行列出文件目录读取1 I9 B1 P; ~* r
(允许将来自父系的可继承性权限传播给对象)9 v: M. k' X0 c) P
e、/winnt/system32:( R, m- o% c- f) h: I+ `- X
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" a/ x. s# V2 n% ]5 L; Df、/winnt: 2 ?$ D' U9 S9 @6 N0 ~
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
w E# o, k% J: H" qg、/winnt:
- K( B$ ]/ t5 o: R5 n. _) n 2 p$ w5 C% Z$ P$ D4 r
everyone:读取及运行列出文件目录读取" Q* h9 Q& ~; B; }4 c
(允许将来自父系的可继承性权限传播给对象) " n# U& M* o e, S& ]7 o/ T# @
h、/winnt/temp:(允许访问数据库并显示在asp页面上) 3 s) ]- t* `8 m4 c# S- X% d
everyone:修改
& ]. }; ]+ U" c i(允许将来自父系的可继承性权限传播给对象)! Y4 `2 Z1 r' ?
10、如何隐藏iis版本
/ V5 ~' k# E7 [ f7 K# ]一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
) E7 I0 X; @$ Z; b* m/ N2 A8 Niis存放IIS BANNER的所对应的dll文件如下:
# G [; _, b% e! I- u) hWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL + }% i# l: o0 G7 n3 O0 a/ r
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL/ E+ F. \. e9 s4 R
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
6 i" W- `4 k6 v2 w! ^你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 6 m$ d: b/ u, B, I7 x& I4 w
具体过程如下:
: D& c1 m: n0 R, B, k% I1、停掉iis iisreset /stop , `5 t5 J0 e. Z
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
p% T3 |' c: X# q& y3 \4 \! A) {7 i3、修改 |
|
发表于 2008-1-25 02:15
| 