|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行( C5 y: [+ d$ H. ^. o& B8 \
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
t. H3 H/ J1 |8 ]3 k8 r2、如何防止asp木马
1 v6 V" P! j9 Y基于FileSystemObject组件的asp木马 7 I8 c/ `6 h* `, A$ B0 T" |
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用" Y: f6 ]$ h# Z& j
regsvr32 scrrun.dll /u /s //删除3 a" @ e" N; n+ _% W
基于shell.application组件的asp木马
6 ?6 ]2 E A2 b& ccacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
% ?) ]4 G7 V9 A8 d1 nregsvr32 shell32.dll /u /s //删除
; a2 t8 Y4 D: }! _: }# R, [, G3、如何加密asp文件 8 B5 g6 P: M1 {8 X+ j
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ' x5 y' \- F# L, p+ N0 p
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。, x/ H4 t S% \, E9 W
运行screnc - l vbscript source.asp destination.asp
$ ]0 O# d! [6 ~! H' o& s8 L生成包含密文ASP脚本的新文件destination.asp H$ J& ^/ S" |' |
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
$ J4 Q! ]$ Q. X& z1 H但无法加密中文。2 N% d- S0 M- m' J6 Q; M
4、如何从IISLockdown中提取urlscan
! \* {* h. Z' ^0 N& [2 {4 M; Tiislockd.exe /q /c /t:c:/urlscan
; F) r+ y. N1 p0 }3 s5、如何防止Content-Location标头暴露了web服务器的内部IP地址 ) M+ J5 K! l/ T; S4 }
执行
& o0 _3 z! z' ^. i* acscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 8 X5 K8 F8 Q, _ K5 y
最后需要重新启动iis 0 y2 j& e5 F' h5 C
6、如何解决HTTP500内部错误5 v S4 L7 ^7 [6 b/ Y
iis http500内部错误大部分原因
5 o* H* U! c% s主要是由于iwam账号的密码不同步造成的。
1 J% R- t. a% X" Y, j/ o+ Y我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。; C2 t! k5 W- a2 ~
执行
1 n3 `3 @% ]4 u& U2 ccscript c:/inetpub/adminscripts/synciwam.vbs -v; @: z2 Z4 d' A. O
7、如何增强iis防御SYN Flood的能力
1 ^7 m1 G2 a! n1 O% ~Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
8 n/ w8 `. C! f0 v0 G启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
) ^0 }; d7 i4 ~ |1 h9 u$ A/ E9 j"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。- U6 |2 A" o! f! K6 H: R ?
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050% u$ `1 ~8 [; h% ^3 b; P
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
6 s; Z6 W9 \ _+ D) b$ S# |项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
7 Q8 P/ o7 o7 h/ b8 D7 N! K! s% {微软站点安全推荐为2。% u* j9 L: U5 q3 }0 B6 }
"TcpMaxConnectResponseRetransmissions"=dword:00000001 7 y- w* X; o# u7 Q: X# S
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 % ^! |1 s+ f: \5 {! M
"TcpMaxDataRetransmissions"=dword:000000034 g k- {1 W) Q5 F0 p
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
& U/ f0 d2 U6 [: H! L"TCPMaxPortsExhausted"=dword:00000005
0 l, K. c) j6 W# c禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
# e" l3 W0 [8 V! I) i( \. D/ O& U"DisableIPSourceRouting"=dword:0000002. V+ H' D) @9 @/ y
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。2 ?, m9 q6 u/ A2 r( a/ w0 G3 P
"TcpTimedWaitDelay"=dword:0000001e. }# c3 K P; A% s
) r7 U! f+ A0 ^3 S& m) G6 @
8、如何避免*mdb文件被下载
; h% h' \, l6 E2 c: B安装ms发布的urlscan工具,可以从根本上解决这个问题。: |% m. b! L5 ^5 A5 Z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
9 c/ E+ }% r, j9、如何让iis的最小ntfs权限运行
- k( p j2 H. `& o; G5 r' {依次做下面的工作: # f* P( t6 v C' I
a、选取整个硬盘:
3 s9 @) f% ?- `system:完全控制
& Z7 q, o% \6 {- J. P c) o$ cadministrator:完全控制% ^. t2 n* b C3 A/ ~* g
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
% {# @$ V7 \+ v0 ]1 y u7 }everyone:读取及运行列出文件目录读取 / K* j' w e$ {! O% F
(允许将来自父系的可继承性权限传播给对象) + ~2 e9 ?$ h; \+ U
c、/inetpub/wwwroot:
4 p3 @! U' k, w. ]8 W2 ziusr_machine:读取及运行列出文件目录读取5 J- S; l( r7 ]6 z4 e9 i
(允许将来自父系的可继承性权限传播给对象)8 `, y1 S" V7 ~1 O. p6 z |
e、/winnt/system32:! T7 O8 Z7 w! o% n7 n7 Q
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" Q/ q b: u7 G2 p' Kf、/winnt:
6 I ?( w7 B5 [& R0 p9 ~# ]8 H4 v选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。+ K( t, Z! o- Z8 O2 Z- T
g、/winnt:
% z! H' u6 r9 Q# r
& U. I3 K) {2 [everyone:读取及运行列出文件目录读取' Y/ ]- b2 C. `; U" G
(允许将来自父系的可继承性权限传播给对象)
6 C% Z( h) d* g3 L& yh、/winnt/temp:(允许访问数据库并显示在asp页面上)
1 L: y# ]; n9 `6 w# z2 severyone:修改
1 L4 r/ A$ d$ N+ Y! q( o(允许将来自父系的可继承性权限传播给对象)# v2 i/ H# h- q5 j
10、如何隐藏iis版本
) T2 [! h1 i4 a) Y1 K3 l4 B一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
3 k8 n! _1 i& T( miis存放IIS BANNER的所对应的dll文件如下:5 w; Z4 c* ?/ b% A4 b- R: b
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
: \9 i# e1 D$ c) H, C; lFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL. b* v' D9 n H4 H" a3 D
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 7 c7 J9 m4 c6 m3 D" y8 w8 s4 T. t
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 5 l7 f+ `0 i5 e% S( l% Q
具体过程如下:( M1 M! V0 m. ?5 L' W
1、停掉iis iisreset /stop / F5 I7 y/ L0 x) D& f
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
0 }7 F, V" J% {3、修改 |
|
发表于 2008-1-25 02:15
| 