|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行3 {0 k7 \) p3 L) S* L
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ) y+ h. a+ h& V* ^! E
2、如何防止asp木马 ; E& t0 l9 T0 J8 K0 r' X
基于FileSystemObject组件的asp木马
6 a% e' @/ t/ U4 ^; }cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用' B4 a% ~% z7 T( n
regsvr32 scrrun.dll /u /s //删除
/ h2 \' L* M% R6 C8 |& ]基于shell.application组件的asp木马: p( J; K- H6 f# r7 s
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ; {2 |3 h$ ~3 W
regsvr32 shell32.dll /u /s //删除 + I. \3 E$ }/ E5 s, c
3、如何加密asp文件
. f0 R% _8 f Y! H从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ V: U6 U# t; l4 U安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
' e. L2 n m0 U运行screnc - l vbscript source.asp destination.asp7 \* a! z, x& w; N! r0 Y! _0 r
生成包含密文ASP脚本的新文件destination.asp
/ `" B) c+ h6 u0 @, A3 P' S用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了: y# _: ]4 ?) ?: U
但无法加密中文。, O1 @! a8 K1 t3 y: g: Y: b$ L
4、如何从IISLockdown中提取urlscan 3 a4 i2 [" J3 m
iislockd.exe /q /c /t:c:/urlscan, `% X! r0 C0 ^8 o+ L- K! P
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 9 Z+ R0 x3 f0 r4 {9 O0 O$ ^
执行 G6 n- b- z6 [2 \0 S% I6 P6 @
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True ) L2 }9 }: N9 H1 p. D
最后需要重新启动iis 7 L% l _" }; }: c T3 C' w8 s
6、如何解决HTTP500内部错误' z2 t) E5 r! T/ d3 w2 `
iis http500内部错误大部分原因- a' u: Z! y" x l7 s
主要是由于iwam账号的密码不同步造成的。
; L% W( x/ S& O! ?/ y* j4 m我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
, i% ]3 [% }0 g执行
6 p" {1 s1 y/ T- F) kcscript c:/inetpub/adminscripts/synciwam.vbs -v
, i: a2 U3 W+ ~( |6 u; M7、如何增强iis防御SYN Flood的能力9 H2 \. D9 ]: U e
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
( w& x* y% W- d& b( n* A' T4 x启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。3 q; K2 B7 [7 d. F3 N, t
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( B3 D/ K$ e# }; Q: I* k3 n) C5 J"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050: J( Y7 R7 f8 o. x
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
) z. r3 V0 ^" M# N项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。( _# X( [+ P+ d- M
微软站点安全推荐为2。
1 P0 K, q% @1 A1 d" l"TcpMaxConnectResponseRetransmissions"=dword:00000001 / s0 U6 d; t7 b# p
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
' h# J4 n( o' A4 S+ A"TcpMaxDataRetransmissions"=dword:00000003
4 f: x5 n5 r3 I; m' Y& [设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 D! ^* F$ @# g$ Z"TCPMaxPortsExhausted"=dword:00000005 $ X4 j; c' z, e% z2 ]
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 / n! I- D! k: C" T
"DisableIPSourceRouting"=dword:00000022 m5 |5 s! u( O' E6 ~0 b9 d3 U4 b
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。& t2 A; s0 e1 h" A7 }2 ^; S' A
"TcpTimedWaitDelay"=dword:0000001e
2 C, `2 l+ Y$ w$ ~, s5 x, g/ B' D3 ?: q4 F
8、如何避免*mdb文件被下载0 u, o: H* U+ |2 c9 E; \* L
安装ms发布的urlscan工具,可以从根本上解决这个问题。% Z; p7 h5 \1 H$ v, _
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
$ S2 d# `4 l |: V( w" M9、如何让iis的最小ntfs权限运行 1 Y2 e+ I1 v5 D2 F y
依次做下面的工作:
+ J$ C2 T7 g5 d' X9 U# r% v- A1 ra、选取整个硬盘: ! z! c) c0 @$ D8 g3 x' g+ ?# b! ]# K
system:完全控制5 t! c$ j: k" C* M0 c
administrator:完全控制 T5 `6 r) q& y6 u. k
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 2 T+ Q. j4 b0 s! X! w9 Y
everyone:读取及运行列出文件目录读取 + `+ K3 C4 Z0 T, p0 S' L
(允许将来自父系的可继承性权限传播给对象)
. P; g1 a) E0 l1 x* j) U& zc、/inetpub/wwwroot:
2 ^+ @: s6 C$ I& d2 v# Y7 K9 Uiusr_machine:读取及运行列出文件目录读取 i; [+ Y- G5 R% F
(允许将来自父系的可继承性权限传播给对象)1 ]! X# d+ g r
e、/winnt/system32:
' j! [/ P6 G- ~选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ' u g+ m/ B! H0 j5 V
f、/winnt:
6 P! h8 _- ^4 B- R* }& l' a* `9 N8 q选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。8 Y) L8 |3 E$ b. ?" L" ~
g、/winnt:5 w1 N M2 A S/ J4 P5 S9 j2 L
4 V$ `$ _4 r& E+ ^" E
everyone:读取及运行列出文件目录读取9 [8 w) n& r$ q3 Y" e
(允许将来自父系的可继承性权限传播给对象)
: l. k1 M; V9 R: ah、/winnt/temp:(允许访问数据库并显示在asp页面上) 1 D6 v3 J6 P0 e; U, ~7 ~
everyone:修改 - J& k, B4 c$ x+ [
(允许将来自父系的可继承性权限传播给对象)
0 q+ j' m: b) |$ n- M. q) B10、如何隐藏iis版本
/ T9 n7 y. m P( o) g/ p# d一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ C$ x) H! m r! m+ Niis存放IIS BANNER的所对应的dll文件如下:
: ?' U8 I7 M" I2 {WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
& E& h4 f+ |( Z* @# f6 DFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
# J4 D5 i9 S' ]SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
! w7 e( X. J5 R& Q- ? T0 F6 N& n你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
+ \0 P5 y& t! a& h具体过程如下:/ ]- O$ c' ^ c6 @9 v* U9 s$ T
1、停掉iis iisreset /stop
$ G" |! L7 c; M7 d, e) P+ t2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件1 ^% a* X, j: k( V& A, o# o
3、修改 |
|
发表于 2008-1-25 02:15
| 