|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行
& n8 }. U4 c! P; p6 y2 f修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 9 l% l- V+ J7 a5 }# {, `' P
2、如何防止asp木马
* H" G7 g/ L6 H% v& S0 x4 k! x7 r基于FileSystemObject组件的asp木马
/ \# O1 c1 c: n0 acacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用$ t v0 D4 r' W/ E8 [7 Z8 Q
regsvr32 scrrun.dll /u /s //删除 k& f6 H. E7 O
基于shell.application组件的asp木马
$ ~4 o3 W3 s4 e7 ^' l% _cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 / C9 E9 k4 o v0 Y6 G: ^
regsvr32 shell32.dll /u /s //删除
6 w: A/ q) W, i6 U; S u( s8 l8 q3、如何加密asp文件
L8 q3 j2 U" V% Y( y: Z! I% G从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 . M" r6 e; m m+ W! G/ H, ]1 J
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
1 `% f+ F C( Y4 n& j运行screnc - l vbscript source.asp destination.asp) l7 o/ F1 d* m3 H
生成包含密文ASP脚本的新文件destination.asp7 V7 j5 c l, D. i7 Z4 @
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了3 q$ L' d, r) y5 L
但无法加密中文。
3 g. \6 k, d$ T$ V4、如何从IISLockdown中提取urlscan * p& ^' `/ ~5 [6 O* {2 I
iislockd.exe /q /c /t:c:/urlscan* a8 Q1 t* S$ c% b- S# X+ [0 z
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 % S6 a1 Q1 n5 r
执行
0 `. z `; {0 w8 u. G/ r, v& X/ Q f4 Tcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True & `- k" M, B( o8 W# \" m j, Q) g9 `
最后需要重新启动iis 5 S5 ?3 M/ p8 f
6、如何解决HTTP500内部错误
3 ^5 Y' ?) H% Niis http500内部错误大部分原因' p- x( C' V7 B3 K6 D& ^8 X
主要是由于iwam账号的密码不同步造成的。
& W Z# ^* s7 S0 h% r' a我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
! q. S7 p- ?; |/ ~# p6 r9 m执行
$ b, k2 X2 R, }5 l$ W2 R. Qcscript c:/inetpub/adminscripts/synciwam.vbs -v
% O4 l$ C- x3 O0 Q3 B2 n2 `" A7、如何增强iis防御SYN Flood的能力
9 x2 \5 G& ?5 O) Y3 a" u: I7 ^: O' iWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ' y) a: e4 ` v+ [" a
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
' U$ [0 ~5 O! F. j"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。1 d2 T2 _9 O& T6 g$ i+ E6 A% _
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
5 f: g$ _# N- K设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
) C( S4 P6 O% \* B2 X2 Q& V项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 ?. T+ }" k+ x% k L$ A+ Z微软站点安全推荐为2。) \* M. o: X) [- e
"TcpMaxConnectResponseRetransmissions"=dword:00000001 & y2 J# e; t* A9 O% {+ p' x5 C
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
* s0 c Y4 L! [! x"TcpMaxDataRetransmissions"=dword:00000003
( e% K' K0 U0 y* \. q. p设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。1 j/ g2 l5 S/ W" {- x+ _
"TCPMaxPortsExhausted"=dword:00000005
' ~; y5 [5 T9 v禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
" d2 ?5 k( d4 D- E"DisableIPSourceRouting"=dword:0000002
/ f* ~0 A9 r7 U3 _$ j限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: A9 z0 [7 V6 H6 {* q- S L"TcpTimedWaitDelay"=dword:0000001e) g! ^& J& e! e9 l0 s; m. k
1 o& k/ E; ?5 U8、如何避免*mdb文件被下载+ }) y7 F/ R! z& X4 r' l" T+ q$ v
安装ms发布的urlscan工具,可以从根本上解决这个问题。6 ]& L$ z0 _0 {& j: ^& D0 I
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ' K/ F4 g1 I- g/ |- J% U# n
9、如何让iis的最小ntfs权限运行
/ M4 v0 {+ Z# E' U0 w2 @依次做下面的工作:
4 ]- U7 S' k3 l* X6 va、选取整个硬盘: # M! z6 I2 P: V+ ?6 b
system:完全控制# l9 H2 G) k( E6 m2 x7 L
administrator:完全控制: p% f4 f& I' S5 b1 r0 A1 s
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: + N' b' _; S f0 S. a6 @* A7 s7 F
everyone:读取及运行列出文件目录读取 5 s ]3 ^) T2 I' C& @- _
(允许将来自父系的可继承性权限传播给对象)
3 d0 Y9 ? v, y5 W- ~$ \$ _$ X& r/ ?c、/inetpub/wwwroot: / V: Y: I' W9 C. _, t
iusr_machine:读取及运行列出文件目录读取
/ q% h2 T0 _) \(允许将来自父系的可继承性权限传播给对象)
`0 V+ `) h. }; j; Se、/winnt/system32:
2 ?. ?) \- ^9 h* [( V& p* c S' ~选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 g$ e3 M7 c3 N. t" Q+ q8 V! y) t* @ g+ Of、/winnt:
" Q0 {8 W- k+ o选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。4 F: ~2 I; J- a
g、/winnt:! x0 A, [0 d+ C+ U7 ~5 k3 r
5 M7 j1 O) M, I- z; n' c: Qeveryone:读取及运行列出文件目录读取
1 w! ]5 e6 g4 d1 j) O$ D8 @8 Q(允许将来自父系的可继承性权限传播给对象)
4 u6 d) v* a! O9 a+ Q' `# }h、/winnt/temp:(允许访问数据库并显示在asp页面上) 3 g; F% ~2 U: Z8 J' S; f
everyone:修改 + ~/ X* e3 J* _3 {1 M4 |& G/ D
(允许将来自父系的可继承性权限传播给对象)
) C$ m) v! e- l% k! t" g! q/ ^10、如何隐藏iis版本 " L& \& Y6 P i6 c! W
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
7 {" z3 h d% `9 s1 e. h# Uiis存放IIS BANNER的所对应的dll文件如下:- [2 ^- K, q; R! Y" F; u; H
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
) X! Q8 F6 e0 K/ N) L2 | U/ l QFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL# Y& |, r9 j. T4 H2 _8 \3 e3 B
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
4 H' ]# z& p, U- |3 \$ n& n: r你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 D# D, e5 i# ~( {" g
具体过程如下:
4 s$ `' m* x, m; }9 Z1、停掉iis iisreset /stop 2 Q3 `4 D% t' |$ {$ A
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
- K; F5 ?6 A8 m$ F6 ?7 `3、修改 |
|
发表于 2008-1-25 02:15
| 