|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行6 L+ p6 S0 e: g3 O" f6 [
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... * X9 C' N1 L n9 Y
2、如何防止asp木马
( W! e3 b" u U9 p- `) U基于FileSystemObject组件的asp木马 - G6 O5 C+ r8 }+ T. u; O1 x
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
- ~# O& t5 t! `) U& n. h: Oregsvr32 scrrun.dll /u /s //删除, H+ P4 E4 m) e" f
基于shell.application组件的asp木马
1 w3 \5 W& R3 N& Ecacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
9 R) a" g+ ~& mregsvr32 shell32.dll /u /s //删除 8 W9 r8 ?1 d8 e0 [+ o4 K
3、如何加密asp文件 0 T2 R1 N! }' X
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 - i+ W* ], h$ k0 i
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
# d' C$ Z) ? D# R运行screnc - l vbscript source.asp destination.asp& o! b4 ?% U" j- t7 K
生成包含密文ASP脚本的新文件destination.asp
- a( z& j0 k& R$ n用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了9 Q; Q* w% ^' `2 @- `2 M6 ^4 x
但无法加密中文。
9 L3 P: u% ^- x2 b; y4、如何从IISLockdown中提取urlscan P1 }% c3 I5 y; N
iislockd.exe /q /c /t:c:/urlscan. \' R( M5 k: w0 R8 g/ W/ G6 {( A
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
& R4 m! G0 q6 b$ l3 {# t ?- f" i执行
8 d& \4 L1 H. ?# ]' b: r4 Lcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
+ n. {% d( [" O最后需要重新启动iis
* A0 Y. z; d! g6、如何解决HTTP500内部错误
0 C# O/ k7 `/ _ W$ O+ Tiis http500内部错误大部分原因: L8 o# i W+ u9 w4 G
主要是由于iwam账号的密码不同步造成的。
' F1 j" ^, o* Z( M我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。& r6 B8 C3 e ]7 l3 x+ A9 ^
执行
$ g* i! l& z. }2 D' u9 d, ~cscript c:/inetpub/adminscripts/synciwam.vbs -v
' ]; K# Z) w* U0 T9 Z% K! F$ Z `) U8 a7、如何增强iis防御SYN Flood的能力7 n- o# k; L# |+ f
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ) R$ a9 W% o* _* i6 l) F/ ^ d
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。6 [! ~, k, ^2 V# j5 K. e9 J# W
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。8 b* n; _4 o+ |6 a: s$ [+ Y) R
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000500 I5 d" @" V4 P
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 7 {3 A( f# @* H
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
) G f8 Y# t. @% R0 W; V. l1 U微软站点安全推荐为2。4 _9 k* x$ t$ D7 C
"TcpMaxConnectResponseRetransmissions"=dword:00000001 5 ?5 ^ `3 K- }! K! g, A
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 - D: w0 m* |& U" ]2 v% l; F2 M
"TcpMaxDataRetransmissions"=dword:00000003. A% o0 @! h4 E4 U1 y' [( S) e
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。1 @% H) Q! A" U I$ D
"TCPMaxPortsExhausted"=dword:00000005
; Y8 l: I" B3 h+ ?2 P+ N& k4 `2 l禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
6 V7 c; k: G6 F! j6 j$ }"DisableIPSourceRouting"=dword:0000002
0 v2 R* w% p( Q2 V* {限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
0 w& p; w% q0 p7 C7 h9 f"TcpTimedWaitDelay"=dword:0000001e
/ ~# D1 H+ G3 O! B! h3 w7 F& z7 p1 l
8、如何避免*mdb文件被下载- {! Z& [) ^$ c8 C) u- r1 r
安装ms发布的urlscan工具,可以从根本上解决这个问题。
- y. W! I# d' I, F, W同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 - n- ^# S: Y4 Q2 s
9、如何让iis的最小ntfs权限运行
- p7 [* c+ Q% G依次做下面的工作:
1 X) y2 M% P+ M& A4 ?. Ia、选取整个硬盘: * x# r: Q/ T# R: o/ r( J2 X1 L
system:完全控制7 r$ g% V: [2 l$ S: F; q3 Q+ B. O' |
administrator:完全控制
. T6 J5 w) u) o+ B; M2 u) R' S. }(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 6 U. N w. K6 Z8 M" Y$ l
everyone:读取及运行列出文件目录读取 + q0 x" @/ j9 }" F
(允许将来自父系的可继承性权限传播给对象)
5 Q! q" g2 k Z% I! Q7 I3 ?) tc、/inetpub/wwwroot:
+ T: o Z# _' L! E7 s: _( R/ {; P' `iusr_machine:读取及运行列出文件目录读取
3 T( A) q4 [, r" P2 i* ?(允许将来自父系的可继承性权限传播给对象)
0 B7 s! v3 ]8 S: Q( [+ ue、/winnt/system32:4 {; G8 ]& Q8 M- q
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - C9 [, ~/ B: K+ p$ w
f、/winnt: $ N- p- B i# g3 G" H3 L$ _
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 S5 w3 R1 N: b- B* o+ F" rg、/winnt:
3 i* P. E, C$ b3 s 4 V0 y/ B8 m' Z4 O# m
everyone:读取及运行列出文件目录读取
1 ?* e9 W! ~( ~3 a2 u(允许将来自父系的可继承性权限传播给对象) ( \8 M/ n) {. c$ b* b" T
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
4 l% S4 @& p5 eeveryone:修改
0 l# N3 _3 b' w- M- y4 L(允许将来自父系的可继承性权限传播给对象)) a+ v% \+ Q% \9 `
10、如何隐藏iis版本 6 X5 h- d) t! x w! Z: E$ Q$ Q
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
0 u0 h: {6 H& c' `+ \, u8 i3 j; m+ wiis存放IIS BANNER的所对应的dll文件如下:: u0 V5 p0 l7 S( \& u
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
9 ~; a* b! [- A- R9 r( ?) ]FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL5 Y9 K# k- a5 Q$ u0 P
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
! M9 b1 q. V& [7 O# X: m# e* p你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
) t* d8 X5 j" \6 h: M: i4 t" g具体过程如下:
8 n2 r4 f! Z4 B+ J( X1、停掉iis iisreset /stop
2 F$ y1 d7 h* y7 h, Z$ N2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
1 b& o" ~+ D# P9 e& H$ F; |3、修改 |
|
发表于 2008-1-25 02:15
| 