|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行; u1 S# y# d5 u8 v5 h8 T0 Y7 g
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
1 }0 i& V) o0 D" @2、如何防止asp木马
1 b, L3 x, Z) s5 M基于FileSystemObject组件的asp木马 / M i; u3 f# J( r
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
$ _2 y' f' J+ Fregsvr32 scrrun.dll /u /s //删除
7 Q5 \. c+ m7 Q9 T7 d9 o7 V基于shell.application组件的asp木马! S3 }( i+ L0 |' t- @
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 - s: {: `' `2 P1 N+ M% A _
regsvr32 shell32.dll /u /s //删除
4 O6 k* r$ A/ Q3、如何加密asp文件
! z* M W5 w8 h- @从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 + _, S! x0 o3 d; D; l$ m7 Z
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。+ H' C( ~! i' P5 I) E% a
运行screnc - l vbscript source.asp destination.asp
& B V7 N. h9 P& B2 s3 _生成包含密文ASP脚本的新文件destination.asp: V1 r& ~- Q' ]8 ^' d
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了4 }% Y: p3 e3 z/ K6 E+ O
但无法加密中文。. N& a# T' G/ ]9 k
4、如何从IISLockdown中提取urlscan
& A( e) z0 B0 G. ^7 wiislockd.exe /q /c /t:c:/urlscan9 B4 q3 |' a" N- I9 [
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
" u& Z" V1 O6 `4 S# m: q执行
3 c6 ]9 I8 v0 v; z6 ycscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
0 u2 A6 H5 u- Y( p最后需要重新启动iis 8 p3 Y- @+ @1 x5 @! Q
6、如何解决HTTP500内部错误
5 L7 Y1 d- e! Hiis http500内部错误大部分原因! J5 q) [6 T% H* P# V
主要是由于iwam账号的密码不同步造成的。
# O6 d" D3 \1 D" i$ u我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。- j# q1 W+ o6 A; N" r' }
执行
0 ^2 R! N5 t4 g# Q( E+ Qcscript c:/inetpub/adminscripts/synciwam.vbs -v
/ F7 O F) J7 y& S' v7、如何增强iis防御SYN Flood的能力
& D d9 ?) a- h' l( v: U j% J$ e% }Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
9 y; ~% B: P+ _" e! {6 M启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。1 g- N" _0 m) o" m7 O4 ~+ c
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
e1 v9 Y! Y& i8 s"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000508 w! |% J3 P) l! L5 M
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ( K% |& O8 |2 B0 [, j% U
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! n) V5 a# o- O" Y7 P微软站点安全推荐为2。8 l1 C5 l# a- j! r3 T+ d& f0 ?0 Y
"TcpMaxConnectResponseRetransmissions"=dword:00000001
5 a6 b Y8 Z6 T+ p+ `: b: y设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 . F* h$ U6 i9 }% o5 G$ W* {/ ?" A! }
"TcpMaxDataRetransmissions"=dword:00000003) o# Z& g2 x! h% m
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。$ ]6 R' ^ ?! A% k8 M( B: {& |
"TCPMaxPortsExhausted"=dword:00000005
2 U i% i0 S, R" G3 I) {9 y0 P; K禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 1 `+ p- f; J/ {& N
"DisableIPSourceRouting"=dword:0000002
+ d& F! k0 p& u" B3 \6 J' ^4 R限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
, S8 ]: v4 H1 }& ^: o3 f"TcpTimedWaitDelay"=dword:0000001e% m- o; T8 ~" E) {: n' s# H
, y4 o8 A9 \# S8、如何避免*mdb文件被下载1 x+ n0 o8 l- L9 p1 m
安装ms发布的urlscan工具,可以从根本上解决这个问题。
. ?0 V! t4 b; s7 u( A3 l同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 7 E8 M* e: `+ ]5 v+ z3 ]
9、如何让iis的最小ntfs权限运行
5 A4 J: o' J: d1 ]! f9 G依次做下面的工作:
. v8 C2 A# C q* _! ]a、选取整个硬盘: * \9 r- O5 }9 X# k: w
system:完全控制$ D8 D; M, W: c. f6 a* N
administrator:完全控制
% u" N* q7 u* D0 {2 J(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
+ e4 e' o z; t# D8 ~7 Geveryone:读取及运行列出文件目录读取
% u( N4 t3 ^8 ^& B. Z# X O0 V(允许将来自父系的可继承性权限传播给对象)
+ T# ?' y' u) F* Y8 Tc、/inetpub/wwwroot:
/ p6 m7 d& O, Piusr_machine:读取及运行列出文件目录读取* y1 v6 r2 u( q/ Y4 V) [( v8 E# ~
(允许将来自父系的可继承性权限传播给对象)- x/ A! u9 J n. R
e、/winnt/system32:9 ^/ c1 @' |4 e7 Q
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 # r5 Q: Y& N. |) c8 |! j
f、/winnt: 9 S, @2 l0 @1 M t+ l
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。% M. I" A' @ s; j! \
g、/winnt:
2 m# @ C$ |" ~5 N; U: @ + D/ `5 G& m6 Y9 b- M% W8 N
everyone:读取及运行列出文件目录读取
: v/ ~: b# r% {5 D5 h) R3 o(允许将来自父系的可继承性权限传播给对象)
9 z$ W0 w; X) i% Rh、/winnt/temp:(允许访问数据库并显示在asp页面上) # d! F) S$ l5 q- R9 O' h6 A
everyone:修改 ) F) c' ?/ s% {! R% }
(允许将来自父系的可继承性权限传播给对象)
7 j1 C! X9 X$ O! e10、如何隐藏iis版本 : E! U$ W- ~" h. n6 a; s
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 - @$ T5 O: m; M3 u& F
iis存放IIS BANNER的所对应的dll文件如下:- O2 y4 t. |4 F
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
% i+ \ [$ h$ a( L' ~# Y4 cFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
5 ?0 O* O. Q8 ?9 r! u! O% t9 N3 aSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 8 Y4 Q) J J0 S8 u+ w: C3 q8 ~
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 9 d8 M. A7 N |5 `1 |5 f2 z+ N
具体过程如下:8 H& q$ W4 D. P% H
1、停掉iis iisreset /stop 6 g% l h% R% N& E9 A# U, Z' z) G
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
; w, P, g+ k/ m' f# l/ }# G( [3、修改 |
|
发表于 2008-1-25 02:15
| 