|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行
( w# a0 C+ V! _$ ^修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 9 H, S6 b2 Y! m7 G$ O
2、如何防止asp木马
t0 B+ k) _6 m5 C1 h0 n基于FileSystemObject组件的asp木马 , u& m9 x7 _/ P) M
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用7 x) \$ ^* \% |: N0 w3 t( {
regsvr32 scrrun.dll /u /s //删除
$ n" Z' p7 C o* a& b8 ^; @基于shell.application组件的asp木马8 @- _! j9 a6 Q/ Z/ b. F [
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 : b, h; F! D9 s! S8 F
regsvr32 shell32.dll /u /s //删除 9 g) u: s( M+ z7 H& i
3、如何加密asp文件
+ H+ l$ J( i# S# J3 K4 ?8 L从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 2 C- t- W' Y8 V, Y
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。& T- w+ i5 e/ y
运行screnc - l vbscript source.asp destination.asp
. a& p( ]# ~* \ W6 }生成包含密文ASP脚本的新文件destination.asp7 T- ]; K% y- R6 h o+ i5 t: L9 |
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, K& F5 b0 {; `4 p# e3 T0 I但无法加密中文。, F% ^. g. f: {$ K$ n
4、如何从IISLockdown中提取urlscan ! `$ L& L: Q( \9 B# g
iislockd.exe /q /c /t:c:/urlscan
$ c$ p1 N! E7 s F! E' K+ i, j5、如何防止Content-Location标头暴露了web服务器的内部IP地址 - m* p6 h6 p5 T; v- [
执行
+ e* H/ R: o% K( |8 I8 ccscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True , i: n( i' W" {; W# B
最后需要重新启动iis
3 Y5 b1 r3 G) R! P9 q6、如何解决HTTP500内部错误/ a/ W r7 Z' S$ z. w% N
iis http500内部错误大部分原因
5 G5 b! n. V- \+ g主要是由于iwam账号的密码不同步造成的。, S" D4 t3 L8 A& b$ N
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。6 Y! C( O- k4 T" R3 k$ v2 b U# j
执行 5 k) n+ c# q! n! w* ]# a
cscript c:/inetpub/adminscripts/synciwam.vbs -v( @8 U0 S) D/ J! G9 T' M) o
7、如何增强iis防御SYN Flood的能力
( I) \: O0 E& u# o- @% KWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] * t* s# s4 o X
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
& O+ g7 o- _3 J/ ~- O: J3 s4 V"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
; ~9 n4 `$ I7 g, Q' Z"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050( n) @( R" g) o4 `) K( a
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
7 u! z o8 F7 f( v: v0 D5 J项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 F |) D: w% r* ~7 e; z
微软站点安全推荐为2。) v; X, D# p) H( T% F/ d$ r- |+ r
"TcpMaxConnectResponseRetransmissions"=dword:00000001 7 c* {* J$ c2 \( r6 Z( Y3 K5 k4 a3 S
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
. ?2 e; _! `# x4 m"TcpMaxDataRetransmissions"=dword:00000003
G; {- i# L x! a设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
4 y1 V- G9 N B6 ~"TCPMaxPortsExhausted"=dword:00000005 ( p* W- l3 b' h. [$ _2 F, V
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 3 f2 i9 o e* E
"DisableIPSourceRouting"=dword:0000002
3 K& V1 T% S3 {1 \3 k$ c; T c限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
+ I& z$ R1 e: g& N6 l2 G"TcpTimedWaitDelay"=dword:0000001e) @; t/ i* W3 `& R; ?
3 }# F. B& `& s4 b6 ?, e* x/ Z6 Y
8、如何避免*mdb文件被下载
4 R/ m! S0 Y; B+ V3 ^# Z/ n安装ms发布的urlscan工具,可以从根本上解决这个问题。: t2 u( i% }' m" G- T& Z6 y
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% V- V- R+ J. ^2 x: _, K9、如何让iis的最小ntfs权限运行 % I/ e4 R3 ~1 g# D* R7 m
依次做下面的工作:
! y! ]: ]7 ~9 a! s7 p9 Ma、选取整个硬盘:
# q: ^$ @* B$ n' ?1 m+ G0 Tsystem:完全控制* R. L* a! [" l2 {2 o* o9 l% e
administrator:完全控制) `& t' W% o, S( S4 L S
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
6 w! N$ j7 ]. keveryone:读取及运行列出文件目录读取 9 b) u. n/ l0 r" ^4 W: E
(允许将来自父系的可继承性权限传播给对象) X- z% T7 b6 D3 e
c、/inetpub/wwwroot:
$ L1 t8 [( p- Tiusr_machine:读取及运行列出文件目录读取8 a! c/ B6 V! N7 l* _
(允许将来自父系的可继承性权限传播给对象), A% a) i& B. O, Z! J) n
e、/winnt/system32:% ^8 {! ]+ l% m8 |# }
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 ~6 l- H- Y' _' _3 R a7 If、/winnt:
3 m/ u3 Q) G; v- n) J. e选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。2 {& w; m; C2 q4 T+ h& s
g、/winnt:
8 Y1 q2 n6 N2 j" I; F
5 J! S2 b% b, yeveryone:读取及运行列出文件目录读取( m5 L( R7 [) v/ p8 f
(允许将来自父系的可继承性权限传播给对象)
! R6 i8 n2 n; X) O! Fh、/winnt/temp:(允许访问数据库并显示在asp页面上)
7 o* y7 ]5 Y. I, B$ S# e- v. Qeveryone:修改
}8 S* U O" F(允许将来自父系的可继承性权限传播给对象)
( F1 V {- W$ l" H10、如何隐藏iis版本 ) f8 N' ^0 {( j% e& r
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ! A9 z" `; t4 _
iis存放IIS BANNER的所对应的dll文件如下:- V# Q _ o- L' f' v5 M
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
$ L3 v* n z5 [% A, s7 \% rFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL2 _8 F) ^7 W" O3 i) R' U
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL # w# z* O& e0 Q# v: B
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 $ a2 P3 g+ {/ F5 f; o% e
具体过程如下: U* v( ^2 |* W; O+ j) C
1、停掉iis iisreset /stop 6 p) p4 }3 [- V3 x8 _7 N
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件! F) k7 w" z/ ]0 R( M$ R# ]! _
3、修改 |
|
发表于 2008-1-25 02:15
| 