|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行3 O! q0 c5 z0 }& e
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... X" [/ J2 O+ ?( U$ B
2、如何防止asp木马
* V5 L! d8 M9 M+ i: n' b! _1 Q基于FileSystemObject组件的asp木马
* H) Y7 P& [* M+ c* Vcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用, s) |' E; c+ t8 [0 H& Q5 \8 N
regsvr32 scrrun.dll /u /s //删除: E3 l/ L& _' ]6 k2 I
基于shell.application组件的asp木马
6 P8 B! U! s( a0 F' zcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 1 Y& j' {1 K# a! {% r
regsvr32 shell32.dll /u /s //删除
3 |9 L. V$ d8 X2 D: p) j6 p- N3、如何加密asp文件 . ~9 B# A! ?& A* ~/ l" K
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
" y: J# s+ @3 a) w( d9 A安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
6 [( ^* y* N. g$ v5 U8 Z运行screnc - l vbscript source.asp destination.asp
) O9 w3 a0 a2 S# M. y+ }8 }- M生成包含密文ASP脚本的新文件destination.asp1 H: ]0 X& J' n9 H& g
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了" D7 r; ~4 V$ J; c; B/ R8 z$ a
但无法加密中文。
% ]* d% x1 Q3 u" G# q3 j7 T4、如何从IISLockdown中提取urlscan
3 Q% Z' i1 l! J+ k( ~iislockd.exe /q /c /t:c:/urlscan; l: i& x2 q0 |$ o2 q' ^9 I- y2 L
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
! a5 u/ E- i/ v( s/ ?9 J执行 8 d. v. k! u+ ?% {' N/ {
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
" N1 h# m. c/ \: y. u' c$ q$ o; M5 @最后需要重新启动iis
; @+ ^( y9 j, c$ @6 i1 R6、如何解决HTTP500内部错误
- {7 c. {6 A, G' K$ Ciis http500内部错误大部分原因
% y$ z ^: N; A$ W; g k主要是由于iwam账号的密码不同步造成的。
: Z, t3 j9 |- f- q+ w我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 t# _# O' L* a4 e) M [ q执行 ) r" ]& ^/ p6 |9 r; b; C
cscript c:/inetpub/adminscripts/synciwam.vbs -v
* I5 V7 f: C$ M# J3 h7、如何增强iis防御SYN Flood的能力
$ ]: N! Z! A5 w7 q8 v+ z3 k, oWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
8 m2 u' {; e8 _8 s启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。, i; L) h( k, x
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
4 ]7 i" `* L; I/ U"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
4 ^' y5 ?+ h( ~; [8 p* [设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
2 ]; }( h2 f" p+ R& \% C: }! e项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
, q$ t8 m: g# O2 \微软站点安全推荐为2。$ i. k* H8 K, M7 I
"TcpMaxConnectResponseRetransmissions"=dword:00000001
/ T# A2 n* |" e. Y- x8 i# \设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 5 U1 Q( ~4 E" q/ b, r0 `0 M" ]
"TcpMaxDataRetransmissions"=dword:000000038 [5 c8 [, F, Q3 ^: s
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。1 r2 s' B# @( A6 u& }1 c
"TCPMaxPortsExhausted"=dword:00000005
7 Q; z: i1 Y* s/ K( [$ ?禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 5 M+ q. Z. W8 g( |
"DisableIPSourceRouting"=dword:0000002; _' c: N. I* ?3 T
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
2 P# z5 E; ~5 M"TcpTimedWaitDelay"=dword:0000001e
) j( ]! ]8 C9 T% j" b; C+ Y
: J- [ z: {) n2 }0 Y% V: l8、如何避免*mdb文件被下载
& m% u3 m2 d5 A安装ms发布的urlscan工具,可以从根本上解决这个问题。! {7 J* Q! z2 j6 }2 I
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
$ K( p* A1 F9 x; Y. e; v# h6 N9、如何让iis的最小ntfs权限运行
, ?& j7 c' R1 ~' R. z9 f) @ I依次做下面的工作: 7 w: ?( d- _9 j3 @ u4 Q4 s# y
a、选取整个硬盘: ! q, o* E' f" w/ I3 d D
system:完全控制; _6 \+ ]# Y$ w# ?# o
administrator:完全控制
+ H9 j* J+ R" z( @(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
( E* F. c9 t t4 M4 peveryone:读取及运行列出文件目录读取 % F+ e+ N0 D( ?. H2 J4 _/ Y1 Y
(允许将来自父系的可继承性权限传播给对象)
6 h$ o s/ {* b; r6 U" [' uc、/inetpub/wwwroot:
3 G" a( \* W$ O' e; oiusr_machine:读取及运行列出文件目录读取/ b, p j2 N7 C4 \
(允许将来自父系的可继承性权限传播给对象)
5 U- ]) R: A1 @e、/winnt/system32:( W( Y+ P0 A( s+ S; |' D b `
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 6 V: H5 S" F7 T4 b
f、/winnt: 3 g) Z/ T3 s6 ~
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( Z) H' K" K9 W r# ~g、/winnt:8 C; U1 m5 ?3 w+ F; e! j
a! d: F8 i- h, w
everyone:读取及运行列出文件目录读取2 a; P* W" w8 y
(允许将来自父系的可继承性权限传播给对象)
' Z) S2 b# v+ }8 p8 Y/ K$ hh、/winnt/temp:(允许访问数据库并显示在asp页面上) 9 K6 x- N/ p! s
everyone:修改
; Y) M2 I# d# @ A- F+ c7 n1 @8 v, ~1 h(允许将来自父系的可继承性权限传播给对象) ~8 `% G+ g* ]1 I
10、如何隐藏iis版本
. M( n2 V$ P! z& {7 z; m一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 f$ ]; m' K$ P1 b: g
iis存放IIS BANNER的所对应的dll文件如下:
: q) K3 \1 a: G9 JWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL % q: d3 J7 V; N/ t
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
3 [$ F! ^% A% A( k5 YSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL * R2 J( J8 W) k$ u: T0 b; o
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 * a( \5 J! R, I/ |' a/ E
具体过程如下:7 g0 H9 {" S9 ^6 }6 m
1、停掉iis iisreset /stop * \ T& G0 M9 w( ~: O _" x! O
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
% b( {5 ?/ r/ C7 J! e; A3、修改 |
|
发表于 2008-1-25 02:15
| 