|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14433
- 金币
- 2502
- 威望
- 1647
- 贡献
- 1450
|
1、如何让asp脚本以system权限运行
0 h6 P7 W+ O6 N- W+ y, d修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
# j3 K; J: d, S. O5 q9 f; y" Z2、如何防止asp木马
0 p, ?. V% l* f# ^) V基于FileSystemObject组件的asp木马
3 K4 Z0 a. u1 n( K o+ k# wcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
& F) ?& A$ v8 m" Jregsvr32 scrrun.dll /u /s //删除$ ~! S4 p* y- f) O
基于shell.application组件的asp木马) x3 t* j3 W' d( f( l2 u" H5 Z" v8 P
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
2 u9 A8 Q; ~" Jregsvr32 shell32.dll /u /s //删除 5 p' r+ P( P0 p# i5 J7 w
3、如何加密asp文件
_; a1 _* {& o5 X0 r从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 & r& P" B. N! @- G$ @8 n5 T
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。: l" r+ L K% W8 ^) K7 W( | O: Q& x
运行screnc - l vbscript source.asp destination.asp
2 R0 M) [: o7 Y; @8 S( M" f$ p) k生成包含密文ASP脚本的新文件destination.asp
( Q" V- ]- J9 `% n) [2 I# j# n用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* {, H& Q( u- n$ R* l. P, r) Q7 t但无法加密中文。9 b7 @' I2 _; a" h
4、如何从IISLockdown中提取urlscan
1 ^5 Z, z5 H c4 v# Z9 @iislockd.exe /q /c /t:c:/urlscan# h5 m- C' ]7 K4 o
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
' T |- X. q7 l& ~" a5 x2 b: v执行 ; r# Z4 ?, L" b. H
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
4 |4 G! @$ F' Q: q+ d: @' u0 q' `最后需要重新启动iis
2 L ~, P! P1 h, k: |% _6、如何解决HTTP500内部错误
* C$ r' `$ D t0 H, I+ Z! ^' Xiis http500内部错误大部分原因* {5 \+ E) D" Y2 f* G
主要是由于iwam账号的密码不同步造成的。
) T. R! @! f, }# \3 t1 g我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
( c/ m: N! q6 m. z9 |5 S) L执行 / X+ G7 E! n9 Z2 C$ v
cscript c:/inetpub/adminscripts/synciwam.vbs -v
% @4 \- n% q- t% g J) w7、如何增强iis防御SYN Flood的能力4 M, f% o" x3 }$ b
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 5 g( L0 i4 C; f. ^* B( ]: s
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。0 v* S% z- S- ?% u; O
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
! U7 k& J1 @1 |$ T"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
: O' K4 s2 t4 A# C& ~ l$ z. x( V设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ _/ S5 y3 W/ ^/ f项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
3 Z2 W( w; u" O微软站点安全推荐为2。" f3 r+ M* ]% D" k/ D
"TcpMaxConnectResponseRetransmissions"=dword:00000001 & E% `0 b' }" \+ q3 _# s0 j
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
" [& n( X1 z5 i# Q* T1 f"TcpMaxDataRetransmissions"=dword:00000003
& m7 C0 d) U! ?设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。. Q2 o( [! h7 S
"TCPMaxPortsExhausted"=dword:00000005
: w F5 l! P' u) J2 S }禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
+ `5 F% O* j |: C"DisableIPSourceRouting"=dword:0000002
# s; H5 ~" I2 {2 a/ x! s限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
6 r, V7 v# ?3 W) {"TcpTimedWaitDelay"=dword:0000001e8 s* J9 K0 J; {( p r9 r8 \
; v; O, N% x7 W
8、如何避免*mdb文件被下载
, J5 C) L" E( j9 ~4 l p0 W安装ms发布的urlscan工具,可以从根本上解决这个问题。8 g, D% x. L6 A2 t% f$ X
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ' E1 ~/ I/ ]7 a8 ^
9、如何让iis的最小ntfs权限运行
1 b# U" y/ G. v# ?" `依次做下面的工作: 6 Q& E: w6 C2 E8 y
a、选取整个硬盘:
" h2 k- A. X; \/ P4 E) x' }2 osystem:完全控制
8 w: P) Y7 @1 c6 B% z3 Aadministrator:完全控制
% g' X1 d/ y y/ W(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: : l+ K R v7 W, Y4 [
everyone:读取及运行列出文件目录读取
/ d, p+ S4 G1 O7 a" n) ^+ i(允许将来自父系的可继承性权限传播给对象) : N* |" @ a3 P/ y8 A- T6 S8 x
c、/inetpub/wwwroot:
; F5 w8 v H2 e/ w& _iusr_machine:读取及运行列出文件目录读取6 T- l8 K* L/ ?2 c0 D. u4 S8 r" ^' f
(允许将来自父系的可继承性权限传播给对象); g( _- ^' R/ o. V
e、/winnt/system32:: J, A- q$ o7 j& ]' z
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
- {$ L& x3 v4 ?f、/winnt:
1 L O% i0 W: L8 ]6 J' h% }6 P选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& m- O, P' l0 x+ v5 W! v- d1 pg、/winnt:
; T7 ?( f0 [( C+ i8 `: z, N) A) y' n- t 2 v/ v- n! R) J
everyone:读取及运行列出文件目录读取
9 V+ X% I4 I) T+ L8 p( E3 T(允许将来自父系的可继承性权限传播给对象)
5 I7 u0 J/ X. J2 Rh、/winnt/temp:(允许访问数据库并显示在asp页面上)
6 v) p M/ w# A' g/ l) w5 Qeveryone:修改
4 a) {4 t$ E+ ?9 d(允许将来自父系的可继承性权限传播给对象)
' `. v7 O4 B9 k/ J _/ p0 T" ^! q10、如何隐藏iis版本 " `! `6 H5 t9 D: l
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 $ ]6 p" E! q7 I- X3 j
iis存放IIS BANNER的所对应的dll文件如下:5 y, C1 V6 w8 f/ P, \
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL . D( k- s+ F" W* F% _2 Z
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
5 y% n5 V% P0 C0 k0 eSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL & F* x- r+ W" L+ V
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
$ a+ i/ Z8 a) r3 L) d: J3 k具体过程如下:7 a3 {8 j. u7 s: T
1、停掉iis iisreset /stop
: k0 H' x3 @+ u" y2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
" `0 P+ q2 N5 J( Z" v1 @9 ^3、修改 |
|
发表于 2008-1-25 02:15
| 