|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行( \: E5 Z- N! O; }4 n- w" k! z6 _( q
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
5 Q: B" ]& j) g' p" L2 [9 w5 I' E' K2、如何防止asp木马 9 o2 |8 \/ w: `
基于FileSystemObject组件的asp木马
$ S3 U. x6 e$ T" D1 s# ?( ^* pcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
( C3 t9 T8 j6 Jregsvr32 scrrun.dll /u /s //删除& M1 v" j3 |" @4 l8 H6 b
基于shell.application组件的asp木马
& Y- t6 n( ^( _. Ocacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
8 d6 y u; a; Mregsvr32 shell32.dll /u /s //删除
3 l& I1 E8 y0 y; `/ }1 u3、如何加密asp文件
+ v9 V! M' O: n2 ~/ A* j) b从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 d* M: W+ y. x3 O: y- S( P; v. J
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。& r4 V' h2 {, r5 q6 H! m
运行screnc - l vbscript source.asp destination.asp3 Q4 i3 q" P i2 h# C+ w
生成包含密文ASP脚本的新文件destination.asp& Y& `# m+ S" d) c7 x( D
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
# R' T, R+ U: i/ X% D但无法加密中文。
2 t7 n- F2 K% u9 f% Z# ~4、如何从IISLockdown中提取urlscan 5 S$ C6 }* e; y4 \2 `: L$ e! ^$ X
iislockd.exe /q /c /t:c:/urlscan
2 H4 F( D8 g/ F% h$ W5 Q5、如何防止Content-Location标头暴露了web服务器的内部IP地址
8 h! H4 T5 K7 L% ?执行
S/ G6 `+ {7 {% U4 Z9 ?& p3 vcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 9 K$ Y4 o( ?2 X$ h7 s& ]4 E
最后需要重新启动iis * Q9 M8 z! g1 W
6、如何解决HTTP500内部错误4 F5 L! O# M5 K( K
iis http500内部错误大部分原因/ m4 d8 P3 C* ]- v
主要是由于iwam账号的密码不同步造成的。
6 Q" Z) a1 G8 {' Y8 V$ E我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。/ L' ]3 j0 w* N; i
执行 ) m$ W2 s6 _: p: E* K4 L
cscript c:/inetpub/adminscripts/synciwam.vbs -v
( K* M: O' n: T7、如何增强iis防御SYN Flood的能力
; H: b Y* D3 j; z& {+ dWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 8 u# ]: p% h; d" ` o" z- U
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 Z- ~: [" M3 X9 l* V1 Q"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
, \- D7 U0 d) R"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
1 v, H$ l' E0 W$ t7 l设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 & d4 |& j4 u7 d0 l4 p: i' j& X
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。7 |- L- d! E2 ]6 i5 _
微软站点安全推荐为2。5 ?( O# P4 p! C3 B) Y
"TcpMaxConnectResponseRetransmissions"=dword:00000001
5 p! L2 L% x4 \- v: h8 N. c5 }设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 6 ~ S& g4 W1 i
"TcpMaxDataRetransmissions"=dword:000000039 J d& P$ g7 r9 ^6 j, y: ?( _
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
3 G# k& F5 U% b"TCPMaxPortsExhausted"=dword:00000005
: D4 O& h' V. s2 }+ O禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
- R9 J1 l* ^! d0 S"DisableIPSourceRouting"=dword:0000002% E5 i, C0 Q( c2 a# E
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
; H- a( u9 H% t( _) [* t E"TcpTimedWaitDelay"=dword:0000001e
4 \' A4 j. P: Q; L6 k! J4 ^& k- V) G, x
8、如何避免*mdb文件被下载0 R: m6 ~6 b5 T0 B% i# J. ]
安装ms发布的urlscan工具,可以从根本上解决这个问题。$ x/ Z# f' h9 f' r
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 7 f2 F7 _0 \: y* f/ \! c
9、如何让iis的最小ntfs权限运行
4 n& n1 a4 ~8 f3 ~6 y9 E依次做下面的工作: , h5 t0 ?: T8 ]7 m2 Z w
a、选取整个硬盘: 7 V. M3 R) _) R i! M% [$ @
system:完全控制) `8 T# }/ @' C+ [# p
administrator:完全控制
) F; c% q6 R) [. L$ x A(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 2 X9 ]/ y. f! l: j
everyone:读取及运行列出文件目录读取
+ Z4 k5 W9 `$ z) F' L3 ?; V(允许将来自父系的可继承性权限传播给对象) 0 {+ E A% g( g# _0 r
c、/inetpub/wwwroot:
1 Q. D4 W( G0 {4 Diusr_machine:读取及运行列出文件目录读取. N1 A1 l+ V# I& F
(允许将来自父系的可继承性权限传播给对象)
: Q. I; n8 v- [6 d( l/ U8 _! Ke、/winnt/system32:: l1 q1 Z1 F8 X* f& Y, u1 g: b6 m1 C4 D
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - H1 H7 y$ |$ \
f、/winnt:
' b2 c" b6 W. y, l9 A; g. ?1 y) n选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- ?7 u# o0 B7 X
g、/winnt:
/ y5 ]5 I3 t0 _9 l& m6 V$ {
1 }2 T$ B$ Z1 }/ {( \& v- ^+ Qeveryone:读取及运行列出文件目录读取# T) U$ |0 A" v7 ]; x
(允许将来自父系的可继承性权限传播给对象)
, a" r) j9 d& \0 f. M0 ?h、/winnt/temp:(允许访问数据库并显示在asp页面上)
% E; f9 z ]4 z2 P1 ?+ R7 z* y, Severyone:修改
X8 d$ V2 ]& c5 k" D(允许将来自父系的可继承性权限传播给对象)
# V1 Q& N* v8 w5 F8 q% D% ]: @10、如何隐藏iis版本 ; v4 i- M: f; U1 V; g
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ! {$ M+ W$ a- `9 U2 U: G
iis存放IIS BANNER的所对应的dll文件如下:8 V$ }6 s s- ~& V- K6 A
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 5 ` F% s" k; h+ e
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL; r6 q, i* q0 C* |: R, y g
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL % r# g7 j$ G! i; O
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ! f! ]# f! P' r: N$ t @
具体过程如下:7 U& ?" O9 X* O1 U5 [. r7 u
1、停掉iis iisreset /stop 9 m0 i5 h2 n1 W/ ~* i# K. i7 a1 R; H
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
+ f' N1 i) }4 [: `( b3、修改 |
|
发表于 2008-1-25 02:15
| 