|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行2 |3 s) ~" L$ t& O7 _. \$ d- H
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... " W4 E: y. v, P* \! T- Y p
2、如何防止asp木马 7 H: ^/ _: K3 }) C+ k# @3 C# }3 I) S
基于FileSystemObject组件的asp木马 4 U) j; G. @* o- r
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
8 _5 q4 E0 y0 C6 s9 F- mregsvr32 scrrun.dll /u /s //删除1 u0 k0 x! I% p( a% r# |
基于shell.application组件的asp木马
( \0 V* G4 z# Rcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 + l7 V/ G* C; {
regsvr32 shell32.dll /u /s //删除 6 {$ w6 u& n. [) l/ j
3、如何加密asp文件
! \( b& D% [" `$ N/ g" ~5 y2 o从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
9 ~- B% V+ M# V4 r1 t6 M Z% j) B安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。: N0 [1 G s; P
运行screnc - l vbscript source.asp destination.asp n O# r. W! R# u: _$ J4 Q" ?
生成包含密文ASP脚本的新文件destination.asp( P1 X" p1 i: w" @: R% t; v0 M! G
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
# Z" r, e3 W: M. R8 o; h但无法加密中文。1 o; X7 V7 Z- z7 W
4、如何从IISLockdown中提取urlscan
5 R r6 _/ ~% S1 g& |/ g/ kiislockd.exe /q /c /t:c:/urlscan, ^; z7 M5 t. i5 z R5 n; `9 M
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 4 {' V2 i- |6 B) i3 R
执行
9 D2 c5 s( K y6 y {- Q+ K) `& `7 [cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
0 x) f5 j! |- @5 C: M$ U) [4 r最后需要重新启动iis ( }) o1 Q0 ?0 S' Z- R* |) J2 A
6、如何解决HTTP500内部错误
& v% E. \' W8 o0 o! o( ]3 niis http500内部错误大部分原因
9 H7 ^, i5 y7 X x& v. o主要是由于iwam账号的密码不同步造成的。6 n/ f8 r7 G+ s0 L/ {$ ^
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" X4 O- o9 {/ u4 W* r( Y) Q执行 5 v* d) X4 V/ a( x4 @
cscript c:/inetpub/adminscripts/synciwam.vbs -v' Y! h% S6 C, g K# q# ? ], Z
7、如何增强iis防御SYN Flood的能力 _0 V; H& W% Z' k
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
9 g$ }# q% g8 D& z+ C启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。3 Q* a* s5 L3 ~1 [7 B% p* R6 W) T
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。+ b- z3 X( H2 c
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
, T, {8 r& L1 R& ?" a7 W+ O j' g设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
- t. g8 A X- Z3 [& h# h项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
& b- O# [# _ ]3 I3 u微软站点安全推荐为2。
4 a. \' Z7 r( o0 T0 |* M"TcpMaxConnectResponseRetransmissions"=dword:00000001
9 f, n5 R( C* G设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, ?4 p* |* e9 ^$ G9 n2 T"TcpMaxDataRetransmissions"=dword:00000003 P8 x, w, f$ ]2 n. M- ^
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。4 h* C9 K' |1 q$ b' B* L5 F
"TCPMaxPortsExhausted"=dword:00000005
& [$ O7 R6 {% L G1 L$ [0 s禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
7 E: l2 o2 ]$ E0 h) W"DisableIPSourceRouting"=dword:0000002
; B: n3 v3 @' B* @- Y* f限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
3 \& S) j- Y" i1 b# P"TcpTimedWaitDelay"=dword:0000001e
7 Y& e' n5 M0 B% I$ c
! v& S- P& @ a6 h! ^- w+ \8、如何避免*mdb文件被下载& ]& S6 O- y; _' a, Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。
: p6 K$ j$ w+ w& f- X* x同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
0 P, B- P% E' [! g! n7 T9、如何让iis的最小ntfs权限运行
! X M/ c0 K& k& \- e3 N依次做下面的工作:
" u( C3 S& y$ c& |6 I" T. `3 A" va、选取整个硬盘:
3 C Q1 W& O4 K. K9 k) C Nsystem:完全控制5 r! \! O! k8 r( f3 I; t( D
administrator:完全控制
8 O6 |! I9 |+ Y% ]2 c(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 6 z5 F, J0 b1 ?; M9 H- }9 @" j- o
everyone:读取及运行列出文件目录读取
. Y2 s, ^2 a2 m; b3 j(允许将来自父系的可继承性权限传播给对象) # S# g! e/ u( L9 O s9 I
c、/inetpub/wwwroot:
& D3 U& s3 K* E0 X; M# A: |iusr_machine:读取及运行列出文件目录读取2 \) \1 w& Y: ^8 G$ E6 D
(允许将来自父系的可继承性权限传播给对象)
. P- S1 w) B6 U! \e、/winnt/system32:
* K1 ~ G @# O, ?5 r7 ^选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 + i6 q, x, Y% s; d# I) t
f、/winnt:
7 k2 S0 x% m) P: L. O2 ^选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ k' {5 w% |. g, t: O4 ig、/winnt:/ J! ^+ h) [/ }( R% L1 ~) |
; r% g, ~1 u7 `$ s* H1 N; {everyone:读取及运行列出文件目录读取& @8 h; L$ N$ X! k: O, `, a: \/ F+ r' o
(允许将来自父系的可继承性权限传播给对象)
: |( n) C% \5 i% C0 L, d2 mh、/winnt/temp:(允许访问数据库并显示在asp页面上)
6 U7 [8 j K, J2 I7 geveryone:修改
" J+ i0 U* k) A(允许将来自父系的可继承性权限传播给对象)
; P1 E! I+ G) p2 {! _. D2 _10、如何隐藏iis版本 ! Q0 ^0 M' q$ u* ?% l) a
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ' j! ?& c$ y* C0 w! z0 J2 K4 Q
iis存放IIS BANNER的所对应的dll文件如下:
/ L+ ]3 @, h+ X W, I+ MWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ! R5 N, z3 i9 L' u1 {* g; R$ j5 n
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL' J0 b6 r" e$ P
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
: M/ H& N! u, Y5 p3 t: n你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
* T l0 b9 F: S" P- w7 s& b/ y具体过程如下:
. Q; `, c) H( Y1、停掉iis iisreset /stop
K; f) o' v" i" i ~) R/ R2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
; O6 }2 L. I' E, p/ D" w. c9 d3、修改 |
|
发表于 2008-1-25 02:15
| 