|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行# y0 z! ?. a' \$ i6 j z
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
" c3 @: w$ c+ W, {4 y" I( y2、如何防止asp木马
* l) G5 g8 y3 j9 [1 E7 a基于FileSystemObject组件的asp木马 6 w0 T( r# Z9 \& [
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
- }4 t) Z7 G% g& D2 ]regsvr32 scrrun.dll /u /s //删除
% O. P+ D% [/ J* ?0 C7 _( p基于shell.application组件的asp木马* {8 e" A* V. J5 n9 {0 }' l" v
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
$ u2 h" d" r, Aregsvr32 shell32.dll /u /s //删除 o# y D9 e; H
3、如何加密asp文件
0 Q$ ~ W; f! u/ [' D从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
6 c2 [$ Q1 ?; G+ n安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- l$ S2 D4 K: }0 W4 r, J运行screnc - l vbscript source.asp destination.asp
- M! W$ `7 z, p f6 H6 |生成包含密文ASP脚本的新文件destination.asp* y0 a) {( g3 z8 U
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了/ L9 _% s" P8 k+ }
但无法加密中文。) @* J/ c1 k6 V, Q
4、如何从IISLockdown中提取urlscan
# f7 t, w$ g$ B* S" Diislockd.exe /q /c /t:c:/urlscan
- h* R7 X. r! M; d5、如何防止Content-Location标头暴露了web服务器的内部IP地址 % `4 Z K) h% ?2 B
执行
Y4 c4 Z+ G6 Bcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True Z* d2 J4 g4 @1 ^, a
最后需要重新启动iis 9 V6 L* X" F/ D- q
6、如何解决HTTP500内部错误
. T& s& P5 y& T1 [5 s w0 E9 Diis http500内部错误大部分原因/ P2 J$ B \! Q* j) M
主要是由于iwam账号的密码不同步造成的。
' x t+ n N9 V+ { f我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
2 I' s% H# H! M' ]执行 _! ^. O; U0 ], s
cscript c:/inetpub/adminscripts/synciwam.vbs -v! T' b6 ^, G1 i7 R ]+ B- Q
7、如何增强iis防御SYN Flood的能力) k5 j) d" l5 ?7 `
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] + ~+ V" K. Y. O
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 W7 H( M/ ~2 T
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。% q/ E( f6 f! o! H: M
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050: S8 _2 [' ?2 S+ S( Y @
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
# Z/ ]4 g1 i/ Y% ~项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。0 V5 A+ H4 i& P$ U o% g
微软站点安全推荐为2。
7 O7 t8 y$ Z- a0 q6 ]" j"TcpMaxConnectResponseRetransmissions"=dword:00000001
% s7 d% T3 X8 R* w+ O设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 & R& G( B+ ^6 `! n0 J% Y. b
"TcpMaxDataRetransmissions"=dword:00000003
/ V) R+ B( z& z设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。- ^2 o9 c8 g# ]+ E
"TCPMaxPortsExhausted"=dword:00000005 ; U9 [& P9 L# Z& |$ R. j* u9 H
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 0 h& K3 Q* ], d g! o% M
"DisableIPSourceRouting"=dword:00000029 a; f4 [# J2 @
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 n. C, o, ?3 w$ R5 U: `( i* K"TcpTimedWaitDelay"=dword:0000001e
- |% A9 K9 B* }
; i3 r% p- w% _3 J6 Z5 x( A8 E8、如何避免*mdb文件被下载
! w9 I- o1 m, R2 T" c安装ms发布的urlscan工具,可以从根本上解决这个问题。
* k$ T- a; b' N( q同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 # S- Q/ u3 `( [9 i
9、如何让iis的最小ntfs权限运行
) Z& ^% z6 b( c, r4 b" _0 `依次做下面的工作:
! }# B1 X6 Y. m" W* Ra、选取整个硬盘: % M" {+ p, @9 V! c5 n
system:完全控制1 A& a( D, n3 j0 S# \* D! U6 x* b
administrator:完全控制
) J% _7 s: f! F(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
$ B1 ], \ O( m/ E$ geveryone:读取及运行列出文件目录读取 ! L1 ]( Y- |# x! s. f1 T
(允许将来自父系的可继承性权限传播给对象) 2 w$ z& B6 l# g3 a$ x
c、/inetpub/wwwroot:
2 u% {5 A% |$ g* c$ Kiusr_machine:读取及运行列出文件目录读取, f3 V9 N3 S9 @, i7 G
(允许将来自父系的可继承性权限传播给对象)
0 Q7 T0 G& g% S+ Re、/winnt/system32:
& |" X6 L# H2 C$ U选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 0 g1 `" K: p: W8 z# u) L, M6 Z1 L, g
f、/winnt:
5 _: {# h, K6 ~7 ?) x选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 r {4 N; o& @* t3 ug、/winnt:
" d: Z4 r9 {1 T; s" h9 b3 W
2 L0 I. c. y! a: Y: |2 teveryone:读取及运行列出文件目录读取1 E: h3 l0 e1 l5 ?1 x" W, F
(允许将来自父系的可继承性权限传播给对象) 1 U, P9 S9 ?% f2 S* d7 @
h、/winnt/temp:(允许访问数据库并显示在asp页面上) L% ~) a# }: h! B3 o7 Z
everyone:修改
: ^2 q1 s7 V% ~7 U- ~, B(允许将来自父系的可继承性权限传播给对象)
6 \+ O. j$ L4 Q6 ^3 C+ L" _, Z" g10、如何隐藏iis版本
, N9 y/ [; O$ r. A- |! k( c% i一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 q* H6 H. ^' V8 @: d$ Z% S4 q; I
iis存放IIS BANNER的所对应的dll文件如下:
1 y% {* i/ p3 ?( j3 fWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
8 L2 q- w) N6 L$ a7 Q7 kFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL5 ~2 U t1 e. { \- M0 Q
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL % r* C6 F+ ]$ u0 L2 d
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
" c7 o7 o; u! [! q H0 N* F2 o: b4 G具体过程如下:
6 Y" F" l& p- O1、停掉iis iisreset /stop & ?* x% x5 ]& }& l7 R; `4 T9 c$ Y6 U
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
2 ~; E% E" b2 H3、修改 |
|
发表于 2008-1-25 02:15
| 