|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行$ R0 V) e, |) a: ~
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... / O1 X' z$ ~- L% u* k/ v" @
2、如何防止asp木马 5 S* J, l$ {; U2 h
基于FileSystemObject组件的asp木马
9 |, [' i7 B, O! L7 d3 H) ?cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
* U) m! H" F' p8 t! F. t- m) iregsvr32 scrrun.dll /u /s //删除
: T/ v4 _9 W: [" l基于shell.application组件的asp木马
% _' y7 o x/ A' X% ncacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
+ U* K& X# g3 o. dregsvr32 shell32.dll /u /s //删除 + K) K$ z) Z$ B, i- x3 W
3、如何加密asp文件
- f8 ]# K6 ~' h0 r$ O2 g# r从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
" x8 s' N+ F# R$ L安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。$ q! m {2 t3 C; H
运行screnc - l vbscript source.asp destination.asp
. F0 Y' o- ^# P! C" t+ g4 d8 S生成包含密文ASP脚本的新文件destination.asp
# |+ }9 h: h# T9 x' C$ X用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了& R+ b% u% z) _$ k
但无法加密中文。0 k/ x9 M U8 n6 |* y7 Y
4、如何从IISLockdown中提取urlscan
# b$ r0 p+ z3 Z, B. y$ ~$ n' R# yiislockd.exe /q /c /t:c:/urlscan1 o6 i$ n2 m- X
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
4 Z' v. Q- m$ |4 i4 Y& A6 ?7 `执行 * ?% Z. r7 }; m7 e* P' a l: ^; y( e
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 5 y+ J" @& V& F+ @
最后需要重新启动iis
, d6 C2 `9 l6 g/ Z6、如何解决HTTP500内部错误
5 i% E" U ?( }& Miis http500内部错误大部分原因
0 j/ f* d4 p$ G2 |主要是由于iwam账号的密码不同步造成的。
0 U* ?; ~& Y9 q' W& L4 k5 Q' `我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。1 w1 k4 ~; w% ~# n+ T7 l
执行
9 V5 r7 c% q0 L; O+ Xcscript c:/inetpub/adminscripts/synciwam.vbs -v
" Q) N7 q- c8 D* x7、如何增强iis防御SYN Flood的能力, r H3 g& h8 W# d( y. i6 P
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] $ Q! Y% r7 B( e* c; f. S# M( _, f, @: |
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
$ t; t, E3 @- I5 l$ Q% d& h"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
" K( H: ^! w; \. j0 @; e"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
2 z3 O! F* S6 c! L/ v% B设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 + M, B8 g: V1 Z" n6 J* h8 W+ ?- s
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
2 s! {, u7 ^) z" i- a4 @微软站点安全推荐为2。2 p+ S- M3 @4 A- g
"TcpMaxConnectResponseRetransmissions"=dword:00000001 1 T5 M' @& @; v
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 : ?3 j" u7 p2 [( O1 X
"TcpMaxDataRetransmissions"=dword:00000003
|2 I% ~% b4 C1 n设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。+ a6 Y% }' J, @0 J h1 p) |
"TCPMaxPortsExhausted"=dword:00000005
8 C* {6 [7 Q A; ~# h0 r禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 - n- i1 d: M6 V3 F. X
"DisableIPSourceRouting"=dword:0000002
# y; [4 U; J& w0 h限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
. d* B4 f7 D& T+ C$ C1 \1 z, G" z"TcpTimedWaitDelay"=dword:0000001e
$ v! _- f6 t6 T D; x# W3 O1 a
0 \+ r0 M; E' t5 G/ p; h8、如何避免*mdb文件被下载
0 `9 N9 R8 f& L3 d( J$ R9 s安装ms发布的urlscan工具,可以从根本上解决这个问题。
: ^5 o% a7 I8 J% m' ^) w; U% t同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' o, J) t/ @6 t U+ G+ V4 I9、如何让iis的最小ntfs权限运行 0 b+ y- _. f+ R* F
依次做下面的工作:
5 i0 ?9 Y4 P8 Y0 e! Ha、选取整个硬盘:
b6 Z R, `: C' r+ v2 {/ I: v) ~system:完全控制
% B. z, f9 i% W) [- o' o, ladministrator:完全控制) M+ t+ r8 _/ b9 J2 g) F
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
+ q/ {( B9 W3 s# n, leveryone:读取及运行列出文件目录读取 : N9 [# |) {* [. ~! g1 y% P
(允许将来自父系的可继承性权限传播给对象) % }7 N3 s+ s& N
c、/inetpub/wwwroot: $ f- }7 Q0 ^4 l" }* M( y
iusr_machine:读取及运行列出文件目录读取. z3 S* i' ?1 S1 @8 w' P* O
(允许将来自父系的可继承性权限传播给对象)
" E. O8 t& m$ V1 r: Be、/winnt/system32:
, v0 Y4 @1 X3 S; ~9 o+ @9 T选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 " z2 l# _. O* z- Q( n
f、/winnt:
7 s9 p) f" ^7 [5 J, A: S+ [选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
]# C5 C" Z6 g: G3 y( G& E) Kg、/winnt:
& Y4 O# {* H0 l# H6 }" x3 X , B) R# O3 c L1 _5 H- j& {
everyone:读取及运行列出文件目录读取 K/ _0 m6 T& X+ ?; T) l
(允许将来自父系的可继承性权限传播给对象) ; J! V7 J4 ?. e
h、/winnt/temp:(允许访问数据库并显示在asp页面上) : X7 _, X& p8 E K" z; S: C1 A" i
everyone:修改
4 a5 L1 G. L3 t+ b(允许将来自父系的可继承性权限传播给对象)0 ^. p7 e+ u2 [0 E) w" s
10、如何隐藏iis版本 ' L: `" } T# D. V9 }
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
" \! s# }6 A/ ?* Fiis存放IIS BANNER的所对应的dll文件如下:
" h/ m( v, \) ?, DWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL / j2 B& [# R5 l1 Z
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL2 m% L$ j }6 W
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
# O; V& n+ `" } P4 I) ^" K你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 1 E2 y9 ^2 u0 J l, Q
具体过程如下:
$ ]; U1 c: s' {5 Y1、停掉iis iisreset /stop / ?# x8 o i" N1 c' R
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
: g9 e5 D4 S2 u9 d4 j+ O* g8 R3、修改 |
|
发表于 2008-1-25 02:15
| 