|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14347
- 金币
- 2459
- 威望
- 1647
- 贡献
- 1407
|
1、如何让asp脚本以system权限运行4 e" G, Y- w8 ~. M' b: v( }
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
' U$ U- q) J9 s; w3 D2、如何防止asp木马 9 h! |8 B2 T$ t! C2 j5 a p+ p, b' S
基于FileSystemObject组件的asp木马 ! [# ^& L* `. \4 @! V; g
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
2 C3 E7 s0 q# H. k7 y$ ~regsvr32 scrrun.dll /u /s //删除
" b' q: `% R2 i( i3 I5 c基于shell.application组件的asp木马# r$ v8 l- }) i% Q9 i0 a' [
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ) J, u% x- f# m: @
regsvr32 shell32.dll /u /s //删除
! i( S+ b4 b5 v7 t" V4 v1 ]0 q3、如何加密asp文件
. W3 E+ u6 z. N4 U; |6 y从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
7 P4 N3 R' T( O4 t% L安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。, l# w t" a3 g$ X6 U" C( j* N
运行screnc - l vbscript source.asp destination.asp; J# m$ W! e# P$ H! n
生成包含密文ASP脚本的新文件destination.asp
6 n& X* I4 X6 D3 r' m用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
6 R8 [7 w+ z- f* d; S4 Z6 v. o& F但无法加密中文。
# H8 \3 l* L6 |* a4、如何从IISLockdown中提取urlscan
# c- X) J( z" Q; S/ Giislockd.exe /q /c /t:c:/urlscan9 P' @. |# B7 @6 G. G
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 " k& @8 S0 [! z ~0 V; Z0 n
执行
# L1 h% S5 P$ b" J7 Scscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 1 t8 @8 B' Q! J' g! Q: F) R X
最后需要重新启动iis
7 Q% G% L4 i. X( u$ p# n6、如何解决HTTP500内部错误$ f: b9 Q0 A9 @9 H
iis http500内部错误大部分原因& `" X: N- Y4 \; R7 a
主要是由于iwam账号的密码不同步造成的。1 h% {5 |+ H- ^* y+ S# o% J
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
1 s3 ]( F- h' [( q# q执行
+ R' G+ Z. E v7 t8 _cscript c:/inetpub/adminscripts/synciwam.vbs -v9 l, E# x1 G" h& w+ |0 n# N0 _
7、如何增强iis防御SYN Flood的能力
- J6 Q# U- J+ j5 h' F" GWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] X) z/ S- R9 W1 G
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
+ K) a( ^) ~+ Z1 y, P"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( y6 ?# R3 v4 S; B$ i4 h"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
2 X6 M# z2 x1 z# T, M, Z6 V% X# w, h设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 6 j6 \8 N& i6 B; J9 @
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 J W \$ D" L! X! `
微软站点安全推荐为2。
6 W" ^% D% n2 K7 N8 r9 b! F"TcpMaxConnectResponseRetransmissions"=dword:00000001 / K. @. o, R/ R! A
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ) u: _8 X; r7 P) H7 o0 x* F% Z
"TcpMaxDataRetransmissions"=dword:00000003; ]- v- L: `* w: B: `2 ?$ |4 Z* p. v
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 D! Z# w( ?- s) N* d"TCPMaxPortsExhausted"=dword:00000005 4 h! R1 Y7 M0 L0 O; X9 i7 {1 l
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
5 D2 B' s& v4 D. l+ O: ~9 i"DisableIPSourceRouting"=dword:0000002
4 u( z4 Y5 q% T( [# w) n限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: c5 o& ?# O9 X- P! t"TcpTimedWaitDelay"=dword:0000001e7 n' @3 t8 |! W8 O' e
0 X" j, B- W" ^% J% v8、如何避免*mdb文件被下载
3 b; S( K9 q9 ?# i9 n, f安装ms发布的urlscan工具,可以从根本上解决这个问题。! w; Y8 j) G7 m
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 9 I8 f7 c0 U" r" w6 o
9、如何让iis的最小ntfs权限运行
6 n7 ]1 B3 |6 S依次做下面的工作: , ~$ ~/ b* z: H f. H& u
a、选取整个硬盘:
( e' @! T6 `; B9 e1 B# E1 msystem:完全控制
7 m9 A/ ] e+ W/ l/ tadministrator:完全控制! H6 |" V4 k z( x7 e
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
% c3 o8 N- M+ ?/ B' M reveryone:读取及运行列出文件目录读取
; K) ]5 W' T9 @(允许将来自父系的可继承性权限传播给对象)
; Y8 M9 Z" {! r" Nc、/inetpub/wwwroot:
6 P2 L; s3 i q! P* n- ]! Iiusr_machine:读取及运行列出文件目录读取
. O/ E5 Q0 c- U(允许将来自父系的可继承性权限传播给对象)+ h8 g% n% P0 n
e、/winnt/system32:
3 U# r1 A. a0 s) {* y. _选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 A; J7 |' P3 h" df、/winnt: 6 k2 r1 X# e; N: @( I3 K
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 }5 v. Y5 c) K9 Cg、/winnt:0 ~0 U# v; n8 X; t
/ h& ]: s/ C8 B$ j/ }everyone:读取及运行列出文件目录读取' Z8 V. |) P; G
(允许将来自父系的可继承性权限传播给对象)
4 F9 P0 \; M2 L% _h、/winnt/temp:(允许访问数据库并显示在asp页面上)
, |8 m+ m6 o0 y; A9 x+ ]# s! Weveryone:修改
* d! y; K" r" s(允许将来自父系的可继承性权限传播给对象)) f: J/ o/ J9 w5 l3 H
10、如何隐藏iis版本 + y: a' i/ I. @3 r8 u! M% k
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
' r y- c$ C% o) i5 eiis存放IIS BANNER的所对应的dll文件如下:5 |' R2 Y; K+ M, u2 J. M
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
- p2 @( k( ~0 q# ~FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% f2 Y: O3 g' M/ ]$ tSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL ! r3 u ]5 f& Y' I9 ^9 P* q7 S
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ; j5 Z: W0 q5 R9 O6 a
具体过程如下:
' n; m4 K9 V) U) P+ }1、停掉iis iisreset /stop
+ B2 i. d2 h0 v6 _0 K; i. X+ j3 c2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
2 |. u( o- v4 S3、修改 |
|
发表于 2008-1-25 02:15
| 