|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行/ Q0 T- f: _" z9 V
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! L0 D5 c- N; V H3 X2、如何防止asp木马 ! i3 e: v# o7 z+ G. z1 p
基于FileSystemObject组件的asp木马
0 S# l, z! l0 e; [8 O. n9 ycacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
% {9 X/ H6 Q. i# Jregsvr32 scrrun.dll /u /s //删除4 N6 A# y5 R, B( h8 `5 r- R
基于shell.application组件的asp木马1 Y! z* q* {# L) ?5 ?
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
& I7 T! X- y6 o% ^* {8 s% M" V, }regsvr32 shell32.dll /u /s //删除 9 ?; ^* U& n* j% p. O
3、如何加密asp文件 # s, N; y3 M$ t6 G! L+ L) O
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
9 D3 J. {+ v3 }* c' r' P& t( p3 G安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。5 y/ S0 i j: s+ W
运行screnc - l vbscript source.asp destination.asp
9 R$ B! E! P/ [, K生成包含密文ASP脚本的新文件destination.asp
4 {& N$ I2 Q% p0 J, J% T用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了7 j4 |0 G, ?3 a V# g5 f: w
但无法加密中文。
9 ^/ }. F! K' i; [! g; m/ F4、如何从IISLockdown中提取urlscan
2 O, T- ?1 T1 Giislockd.exe /q /c /t:c:/urlscan/ F$ D( p6 _7 f9 X
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 0 t: Q2 w" v3 h* o+ ]' ]7 ]. `; A I
执行
4 S f- Q& c+ M, A1 d7 s# b3 Xcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
' z( q s4 H* Y- i3 t最后需要重新启动iis ; {# w M* w/ R! o
6、如何解决HTTP500内部错误" l% A# p0 C/ }* b4 @. ^
iis http500内部错误大部分原因
l# I" @- `& f0 e$ c3 U主要是由于iwam账号的密码不同步造成的。
7 r9 O& j, `* j7 i. S3 l我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
& \, ^5 t4 ?3 S7 x! s, W- x执行
$ j# l1 U9 y% p9 X% ecscript c:/inetpub/adminscripts/synciwam.vbs -v
, A, F6 A6 u6 J5 e$ w7、如何增强iis防御SYN Flood的能力
* c0 W# K3 P$ s, q: y( \1 o3 v. cWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 7 ?- K* F2 v4 v1 O7 \
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
! S) u! M' r" i0 }: a, x% o"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 A# k+ W8 e- W) c6 k) f2 a
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050* Z& H$ @1 r u
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( W- s* J, B9 O) S项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。% F/ e$ w. b9 L* C6 a, F- b
微软站点安全推荐为2。0 Q# y6 A, ]5 P; _2 @& ]% R# k
"TcpMaxConnectResponseRetransmissions"=dword:00000001
; M1 c1 H& ?0 F9 M% D设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 # ^1 H( l1 w6 N) g$ g
"TcpMaxDataRetransmissions"=dword:00000003& P3 c, U- _; M3 a/ r3 t3 Q
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 B; d+ w9 O: r" i* M% q
"TCPMaxPortsExhausted"=dword:00000005
* c) ], H& z/ s& O禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ; R% j9 `/ k5 @9 l5 X# k
"DisableIPSourceRouting"=dword:0000002
/ }! h0 W0 B& k6 @4 d限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。* S+ S* X7 C' l i) K6 a
"TcpTimedWaitDelay"=dword:0000001e
1 b/ \# f* {+ O7 }8 M- S$ s. N+ L5 L: b( D
8、如何避免*mdb文件被下载; O. n. ?4 z' n/ Q6 O$ Q
安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 x7 M1 G% C8 l. Q8 p$ f' t同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 : d; u- g; Q: u& s) B1 K- S6 |
9、如何让iis的最小ntfs权限运行 - s. m/ L1 r0 T! }! y* S
依次做下面的工作: 2 W8 G& A, j# b: V2 q J4 j* ~
a、选取整个硬盘: 3 ]5 d- p% i' G, K% D8 [, z6 V
system:完全控制
8 q8 t k0 Y4 q- P* w: k2 ?, K( M- eadministrator:完全控制
' [! A2 B) s3 x: a% f(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 0 B: {3 Z: O2 V# g8 K# r& P
everyone:读取及运行列出文件目录读取 9 D9 ~( P- x3 `
(允许将来自父系的可继承性权限传播给对象)
3 k3 ^ p! L* g$ ^; B3 qc、/inetpub/wwwroot: : E- `9 d4 V. @0 y
iusr_machine:读取及运行列出文件目录读取, d7 ~& N7 ^* i) F( N
(允许将来自父系的可继承性权限传播给对象)9 I2 y" t9 x) R
e、/winnt/system32:- h, L$ s# |# T3 N
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 t6 j; b3 V: V$ r7 t1 n; a% }f、/winnt:
% b# ^0 ^' W7 u G' o8 [1 W7 K选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。5 y* `" N2 S+ D2 M3 H5 e
g、/winnt:' U' R# `5 W( X/ y/ c3 z5 H \5 ~ [
9 p4 b7 g6 A1 A( w2 _& teveryone:读取及运行列出文件目录读取
# P W* v0 H5 Z$ Z2 Q(允许将来自父系的可继承性权限传播给对象)
- n" e/ H3 f, Z& a7 h) Ih、/winnt/temp:(允许访问数据库并显示在asp页面上)
) w# ?1 r2 N. z2 e zeveryone:修改 $ f9 ?; j$ i8 i# P+ j2 u* k9 j! o
(允许将来自父系的可继承性权限传播给对象)
3 D: q4 C) r% L2 c10、如何隐藏iis版本
; x, a0 w1 ]8 y$ i一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ( c* l) a* |3 p% v
iis存放IIS BANNER的所对应的dll文件如下:+ S# q. q7 C9 g# ]6 H, x8 w; t
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 7 j. Y5 U7 X7 H! S; N% n# n$ Q
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
9 u9 `- k" [9 K. j9 W9 d: JSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
; ?, P; Q1 X/ `* ]5 N你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
0 {, {4 W! w V! L, v4 X3 s具体过程如下:
5 r0 ^) S, ?4 N. e! B+ F1、停掉iis iisreset /stop 3 v ?. z5 ~! d& W! |/ a
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件% r4 d! ?9 ~, i
3、修改 |
|
发表于 2008-1-25 02:15
| 