|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14249
- 金币
- 2415
- 威望
- 1647
- 贡献
- 1363
|
1、如何让asp脚本以system权限运行$ i# X3 X, M/ u% m
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... * c/ N p0 ~8 w# A6 l, `3 S- w* y# z( D
2、如何防止asp木马
- l) F" f: R4 i! A+ J$ B基于FileSystemObject组件的asp木马
/ `2 W( `: M% F5 bcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用& k6 N- K2 ~! _! E
regsvr32 scrrun.dll /u /s //删除
" d0 y3 W6 N" y5 j/ i: q) }) a( B基于shell.application组件的asp木马 N+ H0 r; Y3 r1 x' Z4 ~
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
' C9 V: w7 c, E* S* h% eregsvr32 shell32.dll /u /s //删除 6 V6 W9 H/ [% Y& U4 X c# B
3、如何加密asp文件
( |5 m( m: p: r; Q从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
* s! p! f7 O4 E |' p5 ~安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。+ c8 y- C% l7 n' {) a+ W
运行screnc - l vbscript source.asp destination.asp
0 a0 G) W- E% l8 U, y* i9 M生成包含密文ASP脚本的新文件destination.asp
" T) W, [$ N$ `3 W% ^用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
0 Y1 _8 }' K+ j' O' A+ h但无法加密中文。
' P q9 A3 A) S4 i; g. J4、如何从IISLockdown中提取urlscan
8 V5 f6 ^9 k/ B7 \iislockd.exe /q /c /t:c:/urlscan0 ]- M, z. x% H7 z) ~9 B" b+ h
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 % H# ?2 j% G* U% t( o( o' u% x- T: u
执行
+ a9 w# h7 J# L8 {6 V V& P+ t/ \cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
: {: d1 X* R. e+ I7 ]5 _! v最后需要重新启动iis
+ p+ q4 l `/ D# e( o6、如何解决HTTP500内部错误# [# z5 }2 }: w2 Q( z
iis http500内部错误大部分原因
3 s/ H$ W" c4 x' H主要是由于iwam账号的密码不同步造成的。4 h! N" F. f- N( K% [! B/ R; n- n
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。2 `6 J T3 R- N9 u
执行 ]: [8 e7 s, h. R9 O
cscript c:/inetpub/adminscripts/synciwam.vbs -v$ _( ?) z/ }1 r d
7、如何增强iis防御SYN Flood的能力# A+ I2 A9 e3 Z; E
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 4 y$ `* X6 k! Y/ W' A! a1 Y
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。2 F: {! o# ~, u7 H4 ]
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。0 r- B- i$ d+ Y6 q& L( X4 E5 L
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
+ Z/ a+ t. }8 Y8 c' d# D; y设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
4 x% @% o1 Y( \9 x$ R8 e项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
7 e) `- D# o# c微软站点安全推荐为2。; I! t Z2 n, t( u+ Z; Z; H% ]
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ( r- i1 b9 d$ @5 {8 f$ Y
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 + c5 |$ Z% S2 Q6 K) S+ }) C
"TcpMaxDataRetransmissions"=dword:00000003
: c' S% L: S1 \& {! ?% i设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。! P6 o, M# m: T8 A% [ J. c0 _ }* @
"TCPMaxPortsExhausted"=dword:00000005
4 `) y& U1 ~ J [: |0 X禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 7 u& w- @/ Q% S9 f. u( z
"DisableIPSourceRouting"=dword:0000002( @* m, }% z8 T' p
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
; N% I! k0 N* I5 G& n# {$ S$ V"TcpTimedWaitDelay"=dword:0000001e; d& H0 t$ r0 b! Q& d1 i+ a
+ h9 r0 p1 u* h2 x/ [$ N- D
8、如何避免*mdb文件被下载
) `! K0 C1 k" I' G安装ms发布的urlscan工具,可以从根本上解决这个问题。$ N) s# ?' J. c, y) g( R) E
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 6 X; @5 f& l/ q+ G: i# _% H
9、如何让iis的最小ntfs权限运行
6 ~2 f1 I# C0 u G* i依次做下面的工作:
! L( T6 ?0 H0 }0 U$ N6 ~- I; k0 ja、选取整个硬盘:
" P+ e) K: w' `. R* [$ N7 vsystem:完全控制/ x# J* t L$ X, A. n1 `
administrator:完全控制
$ B+ g2 n4 H( h" a0 l(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
" v' ~+ x0 [8 y5 Weveryone:读取及运行列出文件目录读取 I! z4 r! J* E( l! t' f8 y
(允许将来自父系的可继承性权限传播给对象)
" H2 y- v, K/ hc、/inetpub/wwwroot:
X9 O7 K+ r# Q8 _% n$ S4 W |iusr_machine:读取及运行列出文件目录读取" @" T, `) J2 K
(允许将来自父系的可继承性权限传播给对象)
m0 n t+ e, u9 L- ie、/winnt/system32:
. [+ V5 o# N( F. p5 F4 n$ t, f5 c0 u选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ `6 ~. I9 G" G$ o7 ?f、/winnt: 5 M6 S& B) a$ l! O: `. Z x5 ?7 Q
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。$ M% p, k! Y- f! c+ [2 d
g、/winnt:
6 Q k) y. E* L% C, M ) h8 K. S+ [, h& M% y/ S) }
everyone:读取及运行列出文件目录读取! q$ M, ^( |( D6 X& j4 _. ^0 T
(允许将来自父系的可继承性权限传播给对象) " c4 b- }% R! L7 T/ o. n
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
& l3 Q0 E E: T6 aeveryone:修改 1 L7 w4 t( r8 h* k- K. z
(允许将来自父系的可继承性权限传播给对象)0 T% n% I. I2 i
10、如何隐藏iis版本 $ h ~" e. a2 X1 e; |# ~0 p) C
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 2 x! J: {8 R( { Q) i2 `$ n
iis存放IIS BANNER的所对应的dll文件如下:2 ^8 H- ^, @% l5 ^! N
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
0 d) y0 `0 M+ @6 m" TFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
$ x8 G4 \+ F% l1 w7 O7 e) R' ?SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 8 G+ M! G+ e. c- [
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
5 H: i4 K* k; V7 g: ?: }! A具体过程如下:
1 g# K4 ` m$ T( c2 j' p) f/ w1、停掉iis iisreset /stop " l) b( @4 C& Z5 a
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件( N: T9 ?# v- s. T6 t/ D, d ?
3、修改 |
|
发表于 2008-1-25 02:15
| 