|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行4 g4 W; u; s% B% v
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... % Q7 ^" E& o( H- L2 I* |2 D
2、如何防止asp木马
" o& ?8 x8 G; |. y3 k: X: |. M基于FileSystemObject组件的asp木马 - S3 R) j X% _0 ^" i; V
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用: s& ]& S( x# h7 c9 [0 b
regsvr32 scrrun.dll /u /s //删除
- q' c3 k/ z' D基于shell.application组件的asp木马
0 ?! `- g/ g3 b' W( B/ ocacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 , [! o# @7 | d/ J) F
regsvr32 shell32.dll /u /s //删除 , V2 N$ p- u& r8 |7 ~5 [
3、如何加密asp文件 3 ]; E0 O* a1 n7 a) e- C
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 : h- t4 h! I0 F4 L: a
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
$ W9 q- C: z9 E! Z. l: O- @1 N运行screnc - l vbscript source.asp destination.asp8 e6 C) w) O. b
生成包含密文ASP脚本的新文件destination.asp
8 ^; L( q1 @, ?用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了% b, ?* e2 {" c' v* c; u& A" M3 g9 O
但无法加密中文。
1 p- ^' y1 ]1 ], J4、如何从IISLockdown中提取urlscan
; ]% i$ k/ w- n* }# d& K1 @iislockd.exe /q /c /t:c:/urlscan" W- V& \0 v! I. A& N/ \
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 / U/ n' o. t U/ ~7 N' K: Y7 O
执行
6 \% U O9 \+ G+ h( i r+ \cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
$ k J/ M# `- D' Y2 ]& @最后需要重新启动iis
1 h+ l! g# z6 G+ d5 o4 m) \6、如何解决HTTP500内部错误
( y$ _+ y6 J8 w; y3 Giis http500内部错误大部分原因8 h$ o/ u4 }3 H: e* [. f
主要是由于iwam账号的密码不同步造成的。, h: z) R- f6 R" B/ r
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
p r* |* K m K$ A& K执行
5 ~3 ]: _8 M2 j" h, J2 dcscript c:/inetpub/adminscripts/synciwam.vbs -v
0 G" }% u5 g/ e" O# o% N7、如何增强iis防御SYN Flood的能力
" U* d9 p# z8 Z$ F# i# JWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] # r, h8 K! j* L0 G0 Z! H
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。2 u7 [1 Z: O$ h4 t: s) p
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。% `' q* U1 g0 ]
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
, K7 E! ^& O9 y7 T' s1 x: P& ~9 e设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ' H6 t! r( t# y9 R P! W
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。' O; Z* L! |& j' P- Q! b; x' P- t
微软站点安全推荐为2。) K' R) O L, p
"TcpMaxConnectResponseRetransmissions"=dword:00000001
: [/ r4 K; h/ Y- u1 _; `" _! ]) P. ?/ V1 n设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ( j5 Q2 z" r) g" j
"TcpMaxDataRetransmissions"=dword:00000003 Q9 y1 [9 g! H9 e4 _ ]9 t
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
! l8 U4 X( D& ?5 j"TCPMaxPortsExhausted"=dword:00000005 ( s- i; c. b- L2 H
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
9 I6 }* o2 S( e& l, Q, D# ~3 k" F"DisableIPSourceRouting"=dword:0000002' \/ n4 Z D" B+ t
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
" T1 H! I( ~) p' p' N t"TcpTimedWaitDelay"=dword:0000001e
: y# e1 |6 r6 Q& e! i! b! ]
# k2 U9 J. C9 i* |6 t' {8、如何避免*mdb文件被下载
0 M5 G; Q' I, ?% C! D+ i安装ms发布的urlscan工具,可以从根本上解决这个问题。. l) u8 T' J* n, @: Z& z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
$ C# b& {9 z) I r- X6 J, u7 h9、如何让iis的最小ntfs权限运行 , K" m% @ `6 g5 y. r
依次做下面的工作: 0 E! ]( x1 e" V" C5 @# i: J
a、选取整个硬盘: 4 v, u2 I" H1 C' k) s+ Y' D
system:完全控制
6 Q5 h* V( @8 tadministrator:完全控制
& Q$ R! _$ L- z8 J9 q5 m' d(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: , u' c5 {) O$ T6 {
everyone:读取及运行列出文件目录读取 1 Y, y) s8 g3 ]& i; E4 O
(允许将来自父系的可继承性权限传播给对象) 8 b8 h' h! h, ~& L1 T }- D
c、/inetpub/wwwroot:
" n* E( e, T% oiusr_machine:读取及运行列出文件目录读取
' H4 N# f9 a1 k& _8 i: @+ g" g(允许将来自父系的可继承性权限传播给对象)7 o" r) [- X- v- n, C' W6 a2 B) E
e、/winnt/system32:$ \7 L( Y7 `" E; |
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
F( `* N+ i" l2 _' Sf、/winnt: E ?- P- ~% q4 P: p
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ q! `2 s0 t( pg、/winnt:
7 c& H8 J r7 ~1 ^: t- g
/ \% v4 |3 [7 \9 y- `everyone:读取及运行列出文件目录读取
' B- e; O7 W3 l9 `: @2 [/ x) @(允许将来自父系的可继承性权限传播给对象) % z7 ^4 I6 H* F" A: P- B7 U6 I
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
/ j9 w& a% d( q& I, p: ieveryone:修改 / K6 l2 S2 z5 i9 h. V
(允许将来自父系的可继承性权限传播给对象)
! a' |; v6 u) g8 ^10、如何隐藏iis版本 B u, i! Y; E/ G/ M$ ~$ U: Y W* C$ B
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 6 M3 i+ C6 r: y- q
iis存放IIS BANNER的所对应的dll文件如下:" U0 W) P( q0 e
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
- j+ l2 F0 a f7 ^$ }) T% f7 C2 |FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
7 R& R$ ~, P+ Z6 x" }- ?& P0 _9 ?SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
! t, D' q0 `/ X) d& C你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 4 N! O% R* W/ N
具体过程如下:1 Y' n) b V6 [! W5 ~
1、停掉iis iisreset /stop
0 h! m4 ` K$ \, ]0 ~2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件7 k9 u+ w8 x# N) `" `4 n
3、修改 |
|
发表于 2008-1-25 02:15
| 