|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行$ j" ]9 U* ~. `+ [2 X& a
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 0 z+ V; B5 F" ~* C2 N
2、如何防止asp木马 ' h& T( E" p5 \ K
基于FileSystemObject组件的asp木马 - q H7 e$ f7 P# u
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
7 V6 q8 ?" R. D4 j. y/ Aregsvr32 scrrun.dll /u /s //删除
2 {, d v1 i8 o( C: a$ X基于shell.application组件的asp木马. p) T s( H8 |: A* C6 w1 p
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
4 S' f7 N% K! b9 \' H6 M# i3 bregsvr32 shell32.dll /u /s //删除
; ^, w- U# `! x' w* c3、如何加密asp文件
' n' ]9 D- k+ P$ R- k从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 i" L3 W4 t% q
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
( A% X2 F; |" G1 y6 X运行screnc - l vbscript source.asp destination.asp
( Z; E5 Z- b4 ?% b生成包含密文ASP脚本的新文件destination.asp
5 t: X; r5 c& X8 a用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了4 [" h+ A) h t% P7 E; S
但无法加密中文。/ c3 S5 N: J: M. C' S4 _7 \
4、如何从IISLockdown中提取urlscan ) K) H3 N5 V5 j
iislockd.exe /q /c /t:c:/urlscan9 a+ ?, |! s" V6 c* l2 M8 b% y
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 + k3 Q+ H( J- F+ N) k
执行
2 s/ m4 @8 e% v! H: w+ r. wcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True " L( d1 \/ ]- e. j: ^
最后需要重新启动iis
* h3 R' g& I5 t% z# x( N6、如何解决HTTP500内部错误
1 C- @; r8 x+ _iis http500内部错误大部分原因) f8 {' s, b3 s* X
主要是由于iwam账号的密码不同步造成的。
5 ]4 W" M& D, Y$ L% D, @我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。) [" M+ R Z$ P, m. A3 d
执行 ( K2 Z# H4 _/ ~& _. \( Y& E
cscript c:/inetpub/adminscripts/synciwam.vbs -v
, ~5 z/ ^ O0 _3 z4 O) d$ ]( g7、如何增强iis防御SYN Flood的能力1 t) d, Q% j$ w8 c
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 5 c0 J, d8 f$ _! `8 P8 s& Y
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
( s/ h9 a" _+ c- W5 m: W"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
* D( X5 w6 M" E# B"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050$ v6 ` u2 e# Z3 z0 U
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 3 g' @6 x: ^! [) t5 j
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
2 T1 [( ^9 `' ^4 o: E$ F1 q- a% [微软站点安全推荐为2。0 `/ R! \( P7 B: a1 z
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ( }) M+ u# y/ M
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 . P; b" O( c# E2 v
"TcpMaxDataRetransmissions"=dword:00000003
( t/ u* B/ |4 j& I% D+ ~设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
) [7 e4 ?2 E, ~$ F"TCPMaxPortsExhausted"=dword:00000005
/ F! ^! L" O, ]禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
) K( w, t( Q2 N, n" S"DisableIPSourceRouting"=dword:0000002
$ @4 ?) W* c5 P u9 W5 h& S: Z限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。# x4 v5 H/ {( k. |
"TcpTimedWaitDelay"=dword:0000001e! Y+ `4 v) B" D& ^" o" |8 _9 W: Q
% J1 e0 x' {7 [! P
8、如何避免*mdb文件被下载
3 g: v: t6 n) C0 z# |安装ms发布的urlscan工具,可以从根本上解决这个问题。+ g& q# x9 z X' o m- C
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' ^% C% K2 n' S. @: n9、如何让iis的最小ntfs权限运行
( U4 _' L& t% m/ c依次做下面的工作:
0 C4 Z, I& X, r, G( I6 da、选取整个硬盘:
! w+ Q [% ~# H" C2 J! usystem:完全控制
! V8 m# a* {# B; O/ U1 Oadministrator:完全控制9 Y" k, m0 h; x. \- P3 [4 `
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
# M& [3 ]. o& ^, W3 A3 Aeveryone:读取及运行列出文件目录读取
7 g6 C2 z% C" x) Q9 I# z% x(允许将来自父系的可继承性权限传播给对象) 2 f4 `6 I$ v* x: T, p8 @* @
c、/inetpub/wwwroot: , B. z6 l' q( _
iusr_machine:读取及运行列出文件目录读取
) n) ?. I5 b7 z+ @8 {(允许将来自父系的可继承性权限传播给对象)3 G/ I7 F$ v7 _% b" J
e、/winnt/system32:5 X) c% K4 Q1 @8 F8 b# {" T
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * v1 P/ K# W, ~: l
f、/winnt: ! {; d5 q0 J" _& u- p( a
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 I2 Z; h' ~7 [" yg、/winnt:% V& V' }7 c$ i- g8 L9 O
# a9 x0 h' O4 R% h; p4 c
everyone:读取及运行列出文件目录读取
# Q, q$ h4 n! a4 f R(允许将来自父系的可继承性权限传播给对象)
, E9 S& t6 W. W6 Z& |/ E$ |h、/winnt/temp:(允许访问数据库并显示在asp页面上)
/ @( ]4 {% K$ Z7 p. X8 [9 n/ ?; ueveryone:修改 " l1 ?+ c7 x$ F: H8 o
(允许将来自父系的可继承性权限传播给对象)" A3 w: y9 a" {% l( S$ q
10、如何隐藏iis版本
# J& w% E$ A# X一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
: @8 `' W2 o. o7 giis存放IIS BANNER的所对应的dll文件如下:
9 z$ Q2 M4 G' k/ y" T8 c5 g0 nWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL . A# u: b1 r, N+ L
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL6 j. f9 k' c" F9 ~# s: m& W- u
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
3 }2 C; Y1 k9 R! N$ [你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 @& ?3 S& E$ m9 G" H3 O2 T
具体过程如下:" W; ~9 J% L% O; {& l* ~( l) q
1、停掉iis iisreset /stop ! F1 \1 d. S! y$ F$ G6 B/ u' c
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件* K3 G, v7 v3 Y3 D. W/ N
3、修改 |
|
发表于 2008-1-25 02:15
| 