|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行
- N0 W& V8 ^4 ~" ]* h" \修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... - H0 c, J/ A' Y4 K
2、如何防止asp木马
( X3 `) A/ V8 U3 l" R- p. j, `基于FileSystemObject组件的asp木马 / i9 |) n8 A4 B* k* \
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用0 s' D9 }6 i( x: a) G* X7 E$ K
regsvr32 scrrun.dll /u /s //删除
$ v8 j" g0 u" I/ z* ]- g8 J0 B8 A基于shell.application组件的asp木马( n! L" Q6 L3 \2 ^
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 # w' c' @( M" ~8 c" w0 {$ j
regsvr32 shell32.dll /u /s //删除
/ b5 b1 r/ i8 F/ R3 Y$ M+ y3、如何加密asp文件
, g8 ]4 L; `( N- g. q3 ]从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ) u) ~, {5 f V( t" _0 P
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。$ g" m) {" G9 V0 Z$ c, z+ ^% [
运行screnc - l vbscript source.asp destination.asp
B* R- C# k, O& |, g7 U+ [& H生成包含密文ASP脚本的新文件destination.asp. Z2 F5 K% I& ^
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了7 M1 v$ c' U0 @0 k+ U% e+ H9 h. q
但无法加密中文。! C. e( s; K, z, x5 H0 B- Z
4、如何从IISLockdown中提取urlscan ; h8 b" q/ b: s7 D7 [
iislockd.exe /q /c /t:c:/urlscan
+ g' @. b2 k1 u4 k4 u+ {. I5、如何防止Content-Location标头暴露了web服务器的内部IP地址 - x+ r _+ q( x' J: e
执行
% e$ i3 D8 S6 p) h# Wcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True ) q3 ^. z3 Y. `0 F$ w; d* w# t8 r
最后需要重新启动iis 0 [6 z% W4 b K& |& X* Y
6、如何解决HTTP500内部错误
. M3 A. C$ X: _iis http500内部错误大部分原因0 q6 F3 B) q* m- X6 T8 Z: z, s
主要是由于iwam账号的密码不同步造成的。3 m( Z0 h. ~( U9 |+ c6 U
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。9 x, K4 m$ V1 j4 h
执行
, I0 m& l$ \2 V" ^% R9 j9 \6 V, g8 \cscript c:/inetpub/adminscripts/synciwam.vbs -v
* H3 O* `* M) v0 h: c& J1 q7、如何增强iis防御SYN Flood的能力$ [( t7 A0 Q6 O) Q3 }1 ~; B
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
/ J5 O0 ]6 u! q1 Q启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。: \9 L5 M) l/ ^; y. R, `4 J0 m
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。" n0 t3 L# x1 X F7 L5 B
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000500 t% w8 k/ z4 L) ?' W5 |0 ?0 c, O
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
2 P1 x, x2 m4 E4 X( o! x+ k, B. K项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
, Q9 G$ j; {( q( k: ?微软站点安全推荐为2。
9 @2 q- p! {% s5 L"TcpMaxConnectResponseRetransmissions"=dword:00000001 & E# ]& c+ a! v& q& Z
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
$ S& z) U0 F' X3 j: r"TcpMaxDataRetransmissions"=dword:00000003% |8 S5 M( l" ?% ?6 s7 ~1 b
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
6 d5 v7 z! P7 I8 L2 m+ S"TCPMaxPortsExhausted"=dword:00000005
; {9 N' Y2 {$ D: s8 }禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
* c1 `+ g6 M% ?3 B, I* w( z- _8 I"DisableIPSourceRouting"=dword:00000029 O1 h1 v I* d7 {- _/ F% \
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。( w7 r8 l, H) _+ V/ _4 i C
"TcpTimedWaitDelay"=dword:0000001e, j9 P- q" G1 c7 O6 h
4 g, I+ I8 \6 O9 t8、如何避免*mdb文件被下载1 G9 v& @+ ~" ~
安装ms发布的urlscan工具,可以从根本上解决这个问题。
" E0 \/ N& _, A* }同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
0 U3 u4 ~/ e# x+ m* R9、如何让iis的最小ntfs权限运行 ) S' N- M# x, v9 E7 f' j& z- F
依次做下面的工作: ; r3 a. B$ Z) F* V" O# I; n: v
a、选取整个硬盘: $ R, k9 g, w: C$ Y
system:完全控制 G. b1 Z5 V% m& h5 T
administrator:完全控制
7 x M5 Q, t" }& f0 f$ P. H(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: * ]- \2 l. F+ r8 W4 b# y8 O% x
everyone:读取及运行列出文件目录读取
/ F4 p- K# s( U5 `" Z1 x(允许将来自父系的可继承性权限传播给对象) ' E' m5 b9 x, s5 j. y
c、/inetpub/wwwroot: 9 G; F2 x. A/ \
iusr_machine:读取及运行列出文件目录读取: z* S5 T+ `8 V0 @# C
(允许将来自父系的可继承性权限传播给对象)
( p7 {7 ?0 z# h9 `3 @* _e、/winnt/system32:
) U& E, O; [* [$ ^: x+ ?' P) p, `( w选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 # A! ?+ b" ~1 i+ M( d4 J9 N6 Z; N
f、/winnt:
; M! S, W3 g) E! ~" M; A9 B选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& y. I* z! O) U1 `g、/winnt:" E" I2 M$ D4 |
- Q7 H/ f4 `1 l! l6 q4 m
everyone:读取及运行列出文件目录读取) G, g: Z! r4 s. H; M* y
(允许将来自父系的可继承性权限传播给对象) ( f7 E# S, G* {; U) x/ Z: C
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
8 U7 m/ b/ u7 e7 \' {1 \everyone:修改 % ^7 {/ ~! `; w& y$ `- e
(允许将来自父系的可继承性权限传播给对象)
) M" i* R7 [0 M& t( M* n10、如何隐藏iis版本 : O2 {( K0 y6 _ M2 @7 J2 W. R
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
0 z G+ s5 J/ T. P$ viis存放IIS BANNER的所对应的dll文件如下:) O' ?. }* P$ t- R5 l. h
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
4 `$ [/ V! l) wFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
8 p7 C a4 D% |, e1 Y: HSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
& a6 i% j8 Z: `' X5 D8 b你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 1 _/ R, @# s$ N
具体过程如下:2 C$ r: D- ?6 K' t+ @2 T
1、停掉iis iisreset /stop
% Z2 L! t* p4 O) h/ B. C* T# E3 M6 ]2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
0 Y+ i' \6 W0 s, R3 x0 }: \" ?3、修改 |
|
发表于 2008-1-25 02:15
| 