|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行
8 }6 D5 W$ ^0 x* B( ^" {修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 6 K. C6 ]9 w: S. w; `) i6 D
2、如何防止asp木马
; f6 K% u2 B" k, V, k基于FileSystemObject组件的asp木马 ! H( i+ {: P* a s) m
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
8 ]+ E v+ X" S3 Lregsvr32 scrrun.dll /u /s //删除
5 m( N' M& }3 S- ~' B6 `基于shell.application组件的asp木马2 b0 k; x U' y1 s; Q, f
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 * }) l3 ~. m7 ^: Z: \ y8 z
regsvr32 shell32.dll /u /s //删除 5 g4 x% C4 l" c3 t9 V9 R$ P( z0 P( v' u
3、如何加密asp文件 ' F- q- k' x0 B0 n' K4 i' w
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " D, ?0 L1 ~: G6 m* Y7 ]
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
4 Q7 l- ~- ^( Y( @9 t运行screnc - l vbscript source.asp destination.asp
2 }4 U1 \6 s8 j6 `: \1 C) R2 Y& s% T; W8 e生成包含密文ASP脚本的新文件destination.asp! x3 P; v7 X: ]7 j0 c, ?
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
: m$ q0 R! P4 i, \: N9 [; }但无法加密中文。
, q. d. ^, h( [1 ^1 ~: A4、如何从IISLockdown中提取urlscan
0 u0 u+ f) x3 C3 {* n9 u \0 {iislockd.exe /q /c /t:c:/urlscan
$ t. [+ W+ h7 _6 P1 h: t5、如何防止Content-Location标头暴露了web服务器的内部IP地址
3 K% u, P5 G: A* q. f5 Z3 h" X6 K执行 $ i* O- f# k3 x
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True $ f4 r; C S8 B/ a; J, K% C
最后需要重新启动iis : ?# `# U! d: C+ S
6、如何解决HTTP500内部错误
0 w' X3 C- L0 ~ R7 r) Z. x3 ]iis http500内部错误大部分原因
$ @$ }: X9 b$ F8 F/ ?0 S主要是由于iwam账号的密码不同步造成的。
8 s$ N$ A: z: h( X# A# ~我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。6 U$ h) t) ?: V6 Q" r8 |1 b2 R
执行 1 T5 G" Y7 s. h7 B3 C) w u9 |
cscript c:/inetpub/adminscripts/synciwam.vbs -v
6 Y! N; B$ r5 _7、如何增强iis防御SYN Flood的能力, b% o, @; h) r5 w# n' z
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
5 z0 K R }% K- N# i, o4 D* ]+ G7 c8 ^) ?启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。- h$ ^# X: j/ M4 R. `( j
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
" Y* {4 E3 U& _5 @9 j* b"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
1 h, ?* w7 ^2 v/ k设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
" B( V3 r# M7 f. q项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。6 G; M( T' d6 F( g. T* F: [
微软站点安全推荐为2。8 u/ y4 _* l" P0 \. T, ?( c
"TcpMaxConnectResponseRetransmissions"=dword:00000001 5 ]; L5 i2 [3 t6 t5 x& h
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
1 ^) K. l% G7 C9 }! |"TcpMaxDataRetransmissions"=dword:00000003
1 W; Y; Z* p' G! p5 X6 B$ P; \; ]设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
" P' Y; O9 a) V k"TCPMaxPortsExhausted"=dword:00000005 . N* `4 ]. h H( f+ F
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 / h! a% F* I6 F4 s; G5 y H) x! o
"DisableIPSourceRouting"=dword:0000002& { P$ R' \& j/ L8 o! U3 Y
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
) i. o' f5 w& L i$ x d"TcpTimedWaitDelay"=dword:0000001e- c2 V( t) }, A" w. a
' l) T8 c5 n0 @9 r( }: r( a
8、如何避免*mdb文件被下载
0 S i8 u5 Q; m6 u- ~9 a安装ms发布的urlscan工具,可以从根本上解决这个问题。+ A+ Q/ Y8 ~- c0 n! }* R
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 9 v1 z! j$ Q/ U( S
9、如何让iis的最小ntfs权限运行 " M* _3 X) R6 x
依次做下面的工作: ( \, v% L* M& r& R7 l/ y4 V
a、选取整个硬盘:
0 ?/ J% k* M& x! M0 U# l. r4 ^( v! |) Qsystem:完全控制
; I; _% |- l5 w5 Vadministrator:完全控制9 `: V7 c4 I9 g, E# P3 f1 @# i
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
7 @3 D% ^# z s$ O4 @: Weveryone:读取及运行列出文件目录读取 4 h1 M# \8 I5 e
(允许将来自父系的可继承性权限传播给对象)
/ x- s" q5 l3 F$ {. l( g. rc、/inetpub/wwwroot:
* z' y8 u7 g/ d/ x% s4 Viusr_machine:读取及运行列出文件目录读取 g7 z# E" g' c- g$ }/ p& y
(允许将来自父系的可继承性权限传播给对象)3 n) Z* Q) M/ _- T2 ]! s9 d
e、/winnt/system32:
! o( C9 Z% T! q& L# ^选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
5 w% n0 E3 D, c# o% z7 Sf、/winnt: 0 O6 p% c0 ]1 x: z! U. B
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 W4 m2 G$ }: Mg、/winnt:
( G1 D+ h* O" C r) f% o, J9 h " `# z3 h. Z# Y, [
everyone:读取及运行列出文件目录读取
$ X0 B/ A1 n/ C( y) i/ n% `(允许将来自父系的可继承性权限传播给对象) 5 C5 O, J/ T& K
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
: r2 f, u3 X9 S9 i* f4 o. L$ Jeveryone:修改 # `1 [" n7 d" v7 l3 M j
(允许将来自父系的可继承性权限传播给对象): t( ?' h8 a1 Y4 W
10、如何隐藏iis版本
X1 x3 W" y( [) A一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 5 k B2 K; V3 ]* Z- s Z! M& S, s- t
iis存放IIS BANNER的所对应的dll文件如下:# b+ ]/ L4 E1 |
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
9 v1 W k- ~2 }4 l E$ UFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL+ Z9 o+ U7 ^) T4 m1 i, S
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
) C7 m$ N( o7 M! v# v你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 - Z( |5 @/ Z+ ~% J2 T
具体过程如下:# Y/ z( |' f& E& e% ]& h0 l
1、停掉iis iisreset /stop
. A5 R8 O# y7 j2 ?5 ~9 f* U2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件1 b- C7 M% l/ @* y i+ |5 R8 t, u
3、修改 |
|
发表于 2008-1-25 02:15
| 