|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行
$ J5 O! V( ]" B* x, R( q修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... : ^' s! \- ?- [* `: j6 j
2、如何防止asp木马
( L6 t; d" V( n# J& {" y基于FileSystemObject组件的asp木马
7 M q2 y+ E' w6 k. H H2 fcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用. c7 T: H8 {& [
regsvr32 scrrun.dll /u /s //删除5 |+ u9 |* e- }* e" d
基于shell.application组件的asp木马
) B+ E- a- b/ M5 M3 C t* k% V, K2 dcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 , `" T/ @* E, O5 I
regsvr32 shell32.dll /u /s //删除
6 R* H* a& _4 _! _* B$ j/ ]! x W5 k% R3、如何加密asp文件
- x& U# z" ?* _! R4 \6 A$ I- Z从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
) Q* g& ]8 `1 p& A( [- E1 T安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
: _! y6 C# X8 o" O+ W9 p- r运行screnc - l vbscript source.asp destination.asp
9 l8 N8 i% k4 o8 N$ |6 `+ ?# X生成包含密文ASP脚本的新文件destination.asp
; s9 R4 h9 h( w9 V用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
0 o! I2 J; a( R- x. b; B/ p% k6 k4 u但无法加密中文。3 R p: q; t1 W! ?, i& W1 @! ~( J
4、如何从IISLockdown中提取urlscan
7 J: g" @( ]& J" H; b* ]. aiislockd.exe /q /c /t:c:/urlscan
1 C8 F* `# E9 m5、如何防止Content-Location标头暴露了web服务器的内部IP地址
. Z3 {/ t9 R1 g, p1 P3 Q/ \9 Q执行 & Q8 E1 D0 h1 L3 \; H
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
+ W# }' ^- }6 j最后需要重新启动iis 0 A% d$ ~: U* j' V9 ?/ {
6、如何解决HTTP500内部错误4 d+ D; q% H8 f% h; f! X1 I9 f
iis http500内部错误大部分原因
. W: V- U% {1 _4 t+ Y6 g主要是由于iwam账号的密码不同步造成的。
' ^' l( @2 y6 j5 S我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
. l$ C, I9 S- O' f执行 2 J C5 v3 |% }- |% {' B& W: G
cscript c:/inetpub/adminscripts/synciwam.vbs -v
% T1 ?( j8 l$ o. p2 J. m7、如何增强iis防御SYN Flood的能力
; Y' c, m/ ?0 X, LWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] " M8 S. } ?1 g9 v: \5 b
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。2 y$ k8 x9 J7 a2 Z0 k
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。8 T( Y1 Y8 X" ^& N, O$ }! m
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050% z2 V" ?* ]) q+ I9 s$ h
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
" e% N4 ~7 [# U, V* |& P项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。. T7 n i2 v& |" D0 ?6 h
微软站点安全推荐为2。
$ E1 j- [8 y5 @7 ^"TcpMaxConnectResponseRetransmissions"=dword:00000001
* ^+ L# t' H/ j/ M3 r" ~' L6 M设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 4 n6 g6 v6 }) h7 q
"TcpMaxDataRetransmissions"=dword:00000003
! r- |7 z# O+ T) P设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
9 Q+ x: p2 c; \0 w8 W"TCPMaxPortsExhausted"=dword:00000005
+ k$ K: Z5 z! r) f9 H禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
7 f. n# n8 `+ O( y; R; p"DisableIPSourceRouting"=dword:0000002, v5 `3 ?" H' o& P
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 P, G- D: x7 F6 }! Q4 M"TcpTimedWaitDelay"=dword:0000001e
5 Z# C7 [. @( }& S+ G
2 c+ ]. E* l2 j8 J' y8、如何避免*mdb文件被下载9 U: f. W4 F; p; T+ B9 d% f
安装ms发布的urlscan工具,可以从根本上解决这个问题。
/ J- a0 B2 f- u; f+ o* {同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 9 s8 [) v) D' L# o' S
9、如何让iis的最小ntfs权限运行
7 ?* v# q2 |. y) U7 p S$ ^2 d" t依次做下面的工作: , X) L% C% L+ {7 h# E
a、选取整个硬盘:
% j/ e8 v0 `/ S1 B1 Q8 Qsystem:完全控制
- V6 |' M& w3 g8 t# Kadministrator:完全控制: m# l# w- l P' e9 {
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
* J7 N" e; N! c8 F x1 geveryone:读取及运行列出文件目录读取 - s/ t0 w0 @6 m. g/ t
(允许将来自父系的可继承性权限传播给对象)
) m2 A, d* `5 x, Tc、/inetpub/wwwroot:
4 Q( a l3 @9 B3 A6 t* Qiusr_machine:读取及运行列出文件目录读取+ a. n3 Z- e' H
(允许将来自父系的可继承性权限传播给对象)( I- \2 W- z- P H3 Y: T' U( x
e、/winnt/system32:
" t1 N8 j m' \8 v0 x7 j* _; ?选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 / h7 R* s/ o1 x
f、/winnt:
* y2 e1 P% Y# C- y选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。) x4 y, c/ t+ ?. p+ `
g、/winnt:; x n/ ?( e0 ]! W2 b) N, I
! I+ P9 d+ U1 D) B: _$ t D: U
everyone:读取及运行列出文件目录读取
2 v, _" A ~7 l: f% f L(允许将来自父系的可继承性权限传播给对象) - Y& i$ j L9 y* L/ K, p2 Q; A
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
5 u% h# ~2 y$ Ueveryone:修改 ( X* T# z! i( L1 N: R
(允许将来自父系的可继承性权限传播给对象)+ E; W' w8 c: ], @4 n. _
10、如何隐藏iis版本
% `& @+ p% }4 I% Y' D! H* P一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
7 m6 ?; k( S0 h9 [4 m5 U1 uiis存放IIS BANNER的所对应的dll文件如下:4 h' L5 P4 L9 u- I) @$ a
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
2 H2 l: a4 I; Q7 }FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% e: Y6 \% \' y6 qSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
7 K+ r, n, `, l7 U; v你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 # W; \/ \* G$ V
具体过程如下:
: t% C5 x4 \* d1 V1、停掉iis iisreset /stop 7 x# w/ g) }8 P' c7 ^5 k5 ?
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件& @3 `9 y8 w: m5 u' D
3、修改 |
|
发表于 2008-1-25 02:15
| 