|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行
( f; t" f9 B f* J5 p# v修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ( o. t! W: a& m
2、如何防止asp木马 ( v, W3 R [8 H+ l' w( m9 G! L
基于FileSystemObject组件的asp木马
' G0 z; u! h/ g/ m8 O; j9 E# Qcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
' @% K+ r7 t0 [( w: u# Xregsvr32 scrrun.dll /u /s //删除6 a6 a2 o7 s6 o2 D
基于shell.application组件的asp木马7 ?. ^; u4 k2 C2 g, h
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ' P8 v/ p- ?! J P, ]' M
regsvr32 shell32.dll /u /s //删除
3 m+ a+ U1 O# u' M4 J% U4 m; q3、如何加密asp文件
% R8 b. g- D. J4 D* o从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ! |, v) Z: B0 n9 f: {
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。& j: M4 [0 R# Y5 ^
运行screnc - l vbscript source.asp destination.asp
; v7 l" z: T x9 S生成包含密文ASP脚本的新文件destination.asp2 C0 y& w5 S! }( I5 [" Z
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
8 D q6 L0 R6 U3 G7 D但无法加密中文。
" u: n; b4 X0 w4、如何从IISLockdown中提取urlscan
9 y S4 z% D: c2 [3 W# ciislockd.exe /q /c /t:c:/urlscan* E. x( P( ^% _' O: q8 s
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
) r$ J( s8 v5 U$ O' s) y; j. [执行
. V/ `8 A$ |3 g4 H8 y6 }7 t4 y1 Hcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
; r1 p# i8 r2 q% j最后需要重新启动iis 6 x0 D2 [' R3 h; i6 j% x# t
6、如何解决HTTP500内部错误/ g5 A, q% K4 W6 f. g/ [1 a
iis http500内部错误大部分原因
g9 q# J2 u: ` m/ o/ j5 L主要是由于iwam账号的密码不同步造成的。
i1 a7 e" p" p8 @我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
1 r! C8 x% H2 B4 @$ D4 J执行
# Z$ \& b# h( b4 Acscript c:/inetpub/adminscripts/synciwam.vbs -v @1 B" y- o8 i: p+ W7 F5 S Y
7、如何增强iis防御SYN Flood的能力5 t: |- M; N; L+ f7 F, S! g" u
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
* ]# L8 ]* ^* ]' C& W# C启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。# s0 ^1 g- ~, N c/ p& Q
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。) e; c" Y9 ^# h( u8 x4 b5 j
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
' P5 ^2 t: S5 K设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 0 c/ R2 L/ N; i K. b
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
" W* V# [; ?( b" } q微软站点安全推荐为2。' L8 {4 P! d% |6 D# ?- l4 {
"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 D8 q2 G( x( |+ h7 \设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 & t* a5 k: I1 i( q; n
"TcpMaxDataRetransmissions"=dword:00000003
! W1 J- T" o7 G2 U设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。& ~4 D( C: k5 A- Q9 T
"TCPMaxPortsExhausted"=dword:00000005 ) j- G6 \& Q0 }
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 3 {; D& K! \5 J T
"DisableIPSourceRouting"=dword:0000002
5 M, c, n+ X+ R1 `限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。9 K. @/ ^; V ~$ o) y; s( I! Q
"TcpTimedWaitDelay"=dword:0000001e2 J3 l- F3 S X1 r, S7 K
+ H" q, l5 _% m, e0 C' e8、如何避免*mdb文件被下载
' v; P: A+ O% }* Z5 v安装ms发布的urlscan工具,可以从根本上解决这个问题。9 y+ |9 h% V; F' P6 u8 \5 N
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 D3 Z- z' z, K% o$ r i/ e
9、如何让iis的最小ntfs权限运行 : K# S& Q- {( z* i' l/ Z
依次做下面的工作:
# R$ [1 ~! Q. |a、选取整个硬盘:
6 n* ~' u, u6 v& Y- ?system:完全控制5 z4 E# G% ^# u7 H; c5 j, T# d
administrator:完全控制
. `6 {7 C( s8 b2 F# q(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
& ] ~* n) w8 l$ k& s; Deveryone:读取及运行列出文件目录读取 2 c( I H- M( _
(允许将来自父系的可继承性权限传播给对象)
% G- C6 t; s; f7 l+ \c、/inetpub/wwwroot: 4 v/ j. N1 N% H0 g
iusr_machine:读取及运行列出文件目录读取
C- w% j. W! j2 S/ H6 `(允许将来自父系的可继承性权限传播给对象)8 z. W, g5 u5 y
e、/winnt/system32:) z! e i5 o& J. P( I, J3 U2 V& N
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: D# o* D! i6 l% Vf、/winnt: 5 n3 L8 m: s, C! ^6 `, e' I
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。. Y, y: h0 x3 a: [
g、/winnt:2 a* P& i |( K0 \. w! |% `' _
. f; o$ v8 v! g9 s \/ X3 u
everyone:读取及运行列出文件目录读取3 s2 U( l) v2 B |8 F. {
(允许将来自父系的可继承性权限传播给对象)
: Y% F: h% s- r4 D( \h、/winnt/temp:(允许访问数据库并显示在asp页面上)
# q8 l$ l3 D N0 h7 qeveryone:修改 . k! H9 r* h9 Y8 [$ h7 }
(允许将来自父系的可继承性权限传播给对象) O* X0 ~0 H2 y5 E( m7 M6 _$ b
10、如何隐藏iis版本
}2 y$ J! K$ t; e- S4 u# q' k9 n一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 , \7 }8 P) ~, p2 M
iis存放IIS BANNER的所对应的dll文件如下:% Y+ p1 k+ _! H1 l$ u7 U, N
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL % h8 f: B7 m. k: D% a) C
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL( G8 A6 f0 v- W6 B3 |7 S& Q8 _
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
4 I5 u/ \6 ^+ i4 N) P! Q你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
2 n) W0 B. d& ]. @2 j; {6 R具体过程如下:
t5 t) {) f. o4 R1、停掉iis iisreset /stop , X% u: a0 u( s* Q$ v8 |. m* Z
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件6 X' g* B0 U2 s' F9 K$ z
3、修改 |
|
发表于 2008-1-25 02:15
| 