|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行
5 e; g! y" E# @修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
: V( G3 T" a4 u4 a2、如何防止asp木马 2 z4 [# Q4 p) p
基于FileSystemObject组件的asp木马
8 Y0 P% e5 ]; a& F3 B: L ycacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用: V" U$ \! W8 W$ n& ?
regsvr32 scrrun.dll /u /s //删除
( ?; G! }7 y9 \6 b9 V基于shell.application组件的asp木马4 J2 j" n) N5 }8 V: E0 I
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
9 j8 Z% S5 t. ?2 N& E$ W! [7 D- X% J4 `regsvr32 shell32.dll /u /s //删除
( W1 J1 M+ }& ?3、如何加密asp文件 % M) |& M. q4 L) b# l, t/ U6 K& X
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
. E' H. |/ H( u: m$ b4 q V6 `2 u- e安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。# p* ^4 r$ \8 D* [5 Z
运行screnc - l vbscript source.asp destination.asp! h! C8 C0 \0 h j# L
生成包含密文ASP脚本的新文件destination.asp& L* J8 v ?: q& b0 M& o) P! @2 C
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了5 ~+ L% Y; ?$ |$ u( k
但无法加密中文。' D, O _3 z6 r7 t
4、如何从IISLockdown中提取urlscan
- n# m, i7 r% }/ q. q% B Giislockd.exe /q /c /t:c:/urlscan
[3 D6 O2 K; N7 o$ T1 C5、如何防止Content-Location标头暴露了web服务器的内部IP地址 + Y( j& G( G2 h
执行 : z! `. j! m: k4 o0 Q$ C
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True " J# j; q2 r3 ]7 o
最后需要重新启动iis # o* ?, \7 d, h
6、如何解决HTTP500内部错误9 S( ~ K& s+ X# m: B4 v- S; P- f
iis http500内部错误大部分原因
. ]# ~ T& B. q主要是由于iwam账号的密码不同步造成的。
, ^8 y1 z% y- F我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。: K O1 [( d7 P8 q6 U% a* V
执行
! {4 h, e: [4 R2 Q/ E! Ocscript c:/inetpub/adminscripts/synciwam.vbs -v
- p9 K- B& ?5 G |2 Y4 Q; s. u0 E7、如何增强iis防御SYN Flood的能力
6 [* q% ^1 w; u: z8 b7 c/ b8 WWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
; M4 C) |" ? _0 k% ^: t; \启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。% ^% Q5 J6 `0 S$ A6 z
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
3 d2 N5 g" M4 R4 Z& P, X"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050* @* ~* N( P5 Q/ X, Q: H
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
" |* H; M" [. A项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
7 M) Z" p4 `) o' D5 c1 P$ v微软站点安全推荐为2。: ?* X, {% O+ a- {
"TcpMaxConnectResponseRetransmissions"=dword:00000001
; f- x4 h3 T7 c- n设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 9 V! s" }& g/ r' U
"TcpMaxDataRetransmissions"=dword:00000003
v3 ^9 L" O' f+ R设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 H+ ?* B8 T4 Z4 @+ Y) [* B"TCPMaxPortsExhausted"=dword:00000005
+ A" T/ a& ]" k3 N+ l" p( `禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 7 W* q2 E9 M! h0 o
"DisableIPSourceRouting"=dword:0000002- a& P% E$ i# Q L1 E/ s
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。% E( ?% q* s# {+ r8 N
"TcpTimedWaitDelay"=dword:0000001e" T: P6 f9 u& ~. w* ^9 M+ i d
/ ~" u. s1 d0 p+ v6 H3 ^8、如何避免*mdb文件被下载, E3 p9 h$ U2 D
安装ms发布的urlscan工具,可以从根本上解决这个问题。
/ d2 \8 d d' W# `1 L4 N% [同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) f4 W. O) B. D! K& c( r) [, j+ @2 i9、如何让iis的最小ntfs权限运行 : q4 r: q4 O% w+ d/ ?1 d
依次做下面的工作: 2 |& e3 F9 ^+ K# k
a、选取整个硬盘: 1 W$ a& {- _) e6 l# A8 C- h! M, A
system:完全控制" C( [) |; ] d( g
administrator:完全控制$ v/ e8 x' [& k3 U
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
/ f7 W! E: P1 ^everyone:读取及运行列出文件目录读取 ( u$ b0 |& ?3 x/ U7 Y
(允许将来自父系的可继承性权限传播给对象) " _. [- L) k: |- d1 W7 o" B( @ ?
c、/inetpub/wwwroot: # z7 @* R. x8 _" d3 w
iusr_machine:读取及运行列出文件目录读取+ J+ i* M! d W8 j7 z
(允许将来自父系的可继承性权限传播给对象)1 o7 K1 [, ~+ f+ Z, J4 \$ g/ @
e、/winnt/system32:
% r5 q: o! c3 L; M5 ]) h) V选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 " M$ p" J# z* N$ D
f、/winnt:
- s, a p; k9 M选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# f- x3 | B7 d8 o* a4 C; P6 _1 H8 Cg、/winnt:
4 B" ~3 `( Z' {4 W5 s- ~ ! w4 Z. N; g r* ^
everyone:读取及运行列出文件目录读取, b$ A, C' t0 U! l. s
(允许将来自父系的可继承性权限传播给对象)
6 c1 B+ [6 a" Y( ?, A" _/ u0 |h、/winnt/temp:(允许访问数据库并显示在asp页面上)
- I4 e- Z0 v- b9 _" ?everyone:修改 % L% f* M5 e/ I8 B6 q
(允许将来自父系的可继承性权限传播给对象), @' ~, i3 M: p& x* B
10、如何隐藏iis版本 8 f. P$ `: \' _/ y& a; q
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 8 ?# @# S' [0 o, j8 D! Q: w: r
iis存放IIS BANNER的所对应的dll文件如下:# ]9 s2 u. W2 E5 Q
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL % C" s3 t5 a: n" \! o
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL/ C9 B/ ]7 Q5 a$ w
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
+ b3 g p$ l: h- E. g* E& Y你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 0 }0 i' E# x) ]* c2 E" z+ t
具体过程如下:- w. _# T/ d- i% {+ x9 A7 l
1、停掉iis iisreset /stop
0 E7 m, b) C0 ?$ v2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件3 z( h: f% Z8 U" [' K% m
3、修改 |
|
发表于 2008-1-25 02:15
| 