|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行) `( f! R* v7 P5 Q8 V, M: l3 c
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 5 [ @/ C3 v+ r6 }$ D
2、如何防止asp木马 7 |+ p) M+ b5 J
基于FileSystemObject组件的asp木马 / P( O9 `! {8 Z/ R; i# \8 z
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
0 t% m! \9 u- v, ]6 d% W; ~: c3 Q3 Yregsvr32 scrrun.dll /u /s //删除0 x; g+ Z" G1 l- N$ `9 }
基于shell.application组件的asp木马
* B1 A& n: L Tcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
. ^/ C% o. z" |2 oregsvr32 shell32.dll /u /s //删除 + S3 z8 L: d( Y0 m
3、如何加密asp文件
' n q( ~8 R2 H; m& d4 {8 }$ d从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
! z4 p, {" }! ~* c安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
; T* c8 o- o8 E0 t. f0 \! o; @运行screnc - l vbscript source.asp destination.asp0 h- D8 {. e( k v) S9 b; G, }+ i
生成包含密文ASP脚本的新文件destination.asp/ o0 q( n: u' a. K& [
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了4 e/ s5 r- }2 n* g) ?
但无法加密中文。
* G# Y r6 w% L+ w* u5 D4、如何从IISLockdown中提取urlscan
& g* e$ ^: K" n0 z; Tiislockd.exe /q /c /t:c:/urlscan' K7 _% Z2 B5 s6 a) T, \, t
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 # `. u B, O" k+ x. w8 q7 S' i# ~
执行 9 g7 y4 w' {6 u
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True " F; s5 ?- e; a/ Z, S. W+ d" _
最后需要重新启动iis
$ C8 D, \ F K" }. m8 I6、如何解决HTTP500内部错误- ]7 D8 H( ?5 [3 d/ f% L
iis http500内部错误大部分原因! K' u! I1 A3 M& ]
主要是由于iwam账号的密码不同步造成的。5 k6 b# P6 w; c Q
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。' [! B5 }2 y% U V
执行
; t* k; T M V5 d2 k, }+ [3 t4 Jcscript c:/inetpub/adminscripts/synciwam.vbs -v
8 m7 ]" f* X5 g7、如何增强iis防御SYN Flood的能力
' W. A& E w5 ]% m4 H ]* `* Z+ ]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
/ k5 u$ ^% @ q$ |: R% b; m6 V; w0 @启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
3 w4 a$ C5 g% a' p/ I4 }"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
: q2 Y \6 [9 C/ P/ b"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
" V9 W9 u: I! y# E: y: Q/ C设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
2 E( b2 V* p/ n w项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。4 j2 O1 B5 y5 |% M* f6 _5 ~
微软站点安全推荐为2。8 E6 h8 T; M! x3 l- Z6 Y
"TcpMaxConnectResponseRetransmissions"=dword:00000001
! h3 n- F3 C0 b* n$ {+ @设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
% o. Y @& c2 e, z! }& _"TcpMaxDataRetransmissions"=dword:00000003. O: Y9 p. Q. w- q/ f
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
" B S. ?( Z. V# D"TCPMaxPortsExhausted"=dword:00000005
" q0 K) S4 u- g' N1 }7 b. b! Y禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
+ R: b4 V/ b! u2 b! Z% Z"DisableIPSourceRouting"=dword:0000002
: ]4 F7 S" Q, {6 i+ w/ F限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
& _% W% Q# i: x! q: G"TcpTimedWaitDelay"=dword:0000001e
% Z; j* q8 ?' |6 D6 D4 s1 ]6 [, ^8 v4 k6 a
8、如何避免*mdb文件被下载
. u# w* F# u! S1 C. Y3 ~; y安装ms发布的urlscan工具,可以从根本上解决这个问题。' k4 d# A& _4 U4 I" G
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
7 Z% v0 u i, I9、如何让iis的最小ntfs权限运行
0 i3 n( b- O# S6 {+ [依次做下面的工作: ( A8 w* ^/ i+ M/ E' j
a、选取整个硬盘: * ~; R" K" W2 j8 ?! I! M4 C
system:完全控制: X4 u7 r5 N( ~
administrator:完全控制
% v5 i, q# p: [' I(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
% o D) h2 A( m% K7 @5 Neveryone:读取及运行列出文件目录读取 $ I# @2 ], w. r
(允许将来自父系的可继承性权限传播给对象) & [% N( G/ C, R6 [: p5 n
c、/inetpub/wwwroot:
: G7 T3 u8 i4 k2 Qiusr_machine:读取及运行列出文件目录读取
' B0 r- a$ V+ e5 J- ](允许将来自父系的可继承性权限传播给对象). X4 S2 D0 J$ m0 G0 i9 l
e、/winnt/system32:
) q* s# ~. D4 Z+ ]) a' G/ B选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( m4 v+ I! s9 C/ Jf、/winnt: |2 v6 z% _5 h, g
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。# a, K x9 r( I4 W& b3 l2 H
g、/winnt:. \% i; @0 d0 n8 \# n! s$ }3 B0 D. L
' {$ o |3 b1 z1 ~: F: k8 Q
everyone:读取及运行列出文件目录读取# y) w4 s) r. g: ^
(允许将来自父系的可继承性权限传播给对象)
3 M% m! E3 w, E4 g- S4 q, yh、/winnt/temp:(允许访问数据库并显示在asp页面上) " `3 M0 w$ d" R/ G8 |
everyone:修改
' G, p' N e% a- ~7 h& c( p(允许将来自父系的可继承性权限传播给对象)3 N+ U y4 O, _
10、如何隐藏iis版本
; k/ [, l, o9 @/ _2 \0 ]& P) F一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 3 L" {! c+ B" ?% m) c4 \9 g; P" D7 @% R$ c
iis存放IIS BANNER的所对应的dll文件如下:
9 w/ s) b8 x6 ~( qWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
9 v& P% ^" u$ e" D0 y- {# @+ v6 pFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL0 ~" F0 L/ }0 ]
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL . r! f8 n* Y1 X- r
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
$ M( k7 D" m+ z" O: e具体过程如下:& A9 Z* H0 @2 Z4 E5 x. f
1、停掉iis iisreset /stop
# \2 T' N; L! Q2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件/ O7 _& R& |) M( l
3、修改 |
|
发表于 2008-1-25 02:15
| 