|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行- \) k2 k) C' l( Q/ F
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 1 @" k3 m# }# p- [) S
2、如何防止asp木马 3 A4 Y. Y& C' `2 M1 _, |* p+ o
基于FileSystemObject组件的asp木马
! c, \3 G/ I* d# t2 ?, u% Ycacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
" V# ]" v; `! f2 C' Jregsvr32 scrrun.dll /u /s //删除9 F7 ~0 {) `* a$ L) M7 R! P. Y$ c
基于shell.application组件的asp木马* k$ u0 t" J" C9 y& F$ K3 A
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
W4 y+ z5 f2 ?- iregsvr32 shell32.dll /u /s //删除 - A( [: l+ }- X% Q, |+ U
3、如何加密asp文件 $ r8 J( z, Y/ K2 z
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 4 k1 p! M1 J* ~* E T9 a
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
6 d/ K) ?$ m- J l4 j z运行screnc - l vbscript source.asp destination.asp$ Q$ p0 X4 Y* _. A* e
生成包含密文ASP脚本的新文件destination.asp& W: D: q! g1 d5 a8 [
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了0 t. `% a/ X. v9 O" a" L
但无法加密中文。
( @3 P; ~2 G. h, Y' N4、如何从IISLockdown中提取urlscan
" R8 H2 E: Z5 @" [% niislockd.exe /q /c /t:c:/urlscan
) Z2 T# a, w5 K5、如何防止Content-Location标头暴露了web服务器的内部IP地址 3 J' F4 v) P e& \5 k
执行
* J' D+ o1 N X$ Q7 V6 Ucscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True + f! Q6 @1 [: w$ _
最后需要重新启动iis 6 P4 U) _6 U' z" _: Q
6、如何解决HTTP500内部错误
) K& n& E0 X/ A: W4 s1 E& niis http500内部错误大部分原因
4 n! i' \, ~" X" t4 [) R主要是由于iwam账号的密码不同步造成的。- \5 p0 V6 Q( Q( ]$ M! q+ @# }, ?
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" V2 d, d# ]8 l0 `$ Q执行
0 T5 E' Q6 p; w) ?5 ~cscript c:/inetpub/adminscripts/synciwam.vbs -v
1 }( D. F- ]% Y8 K: j; H5 X7、如何增强iis防御SYN Flood的能力- Q/ |" y# V* p( G& w/ ?. F: F
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
; Q% M8 H3 L* P2 r$ \启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
: i6 Q5 n8 C+ k$ m. m; u7 K- R( C"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。% \6 a# s4 ?( ?3 H' Z4 _
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
6 H3 F) r4 H7 w' |& s, q5 k; z" [设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 3 r# v' M8 x% F$ |; D% M7 F
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! W% X- `" D6 `& I3 f微软站点安全推荐为2。$ `* d* s# ~8 m
"TcpMaxConnectResponseRetransmissions"=dword:00000001 4 P1 O; S. Y, n' F) o
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ' E% W. u) t8 u' ^! _) V
"TcpMaxDataRetransmissions"=dword:00000003
$ D# _/ h& ?; c3 \ _( d3 A* G设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
q! [8 q$ ^! K/ S& `+ C"TCPMaxPortsExhausted"=dword:00000005 - s; {& l; z$ k+ R
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 $ T7 r6 w! z* K
"DisableIPSourceRouting"=dword:0000002! [5 ?! ~; `7 s: z
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。; U7 N$ ]6 O/ a6 A2 Y
"TcpTimedWaitDelay"=dword:0000001e
; m, o/ V2 I, d9 s" |8 a' K6 ^% x1 H, H" o# j( v5 q7 I
8、如何避免*mdb文件被下载
, [+ A0 e( l+ H3 [! G3 S5 ?4 ^$ X安装ms发布的urlscan工具,可以从根本上解决这个问题。
' Z7 [. }& e1 _; s. v& G% U @同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
0 x4 @3 n5 Y9 a3 R' q8 I* U9、如何让iis的最小ntfs权限运行
: l @% O, M+ _5 b5 g% Q$ N依次做下面的工作: - O/ T: R$ P/ N7 c# M% l
a、选取整个硬盘: $ ]6 I' ?; ~6 A& W
system:完全控制% \% N$ r+ ]1 h' f9 ~4 T9 v3 F
administrator:完全控制; p, ~* U, J# q! y
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
, m: F. u; L+ _1 U$ S) q3 ceveryone:读取及运行列出文件目录读取
, N0 ~4 m. W5 X: f" O3 d(允许将来自父系的可继承性权限传播给对象)
& p; i+ `' s2 Z* m; V, H1 Qc、/inetpub/wwwroot:
, n7 @# e. i2 Y5 oiusr_machine:读取及运行列出文件目录读取
. P( N, E7 k3 S: K. Y6 _(允许将来自父系的可继承性权限传播给对象). P) i) V" @5 g) W" n
e、/winnt/system32:
. a! R) V" [1 C2 S选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - I3 _1 Q% E0 u2 o
f、/winnt:
( A" P) C, J4 q" ^# w选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。* c6 X- t- O, p6 A, y
g、/winnt: Z v$ |- d3 U% D; g
" J: [- @% m/ M6 J5 p; H' A
everyone:读取及运行列出文件目录读取* {# f8 ?, ^2 {/ V4 F
(允许将来自父系的可继承性权限传播给对象)
9 A: W! y/ |* G: [* oh、/winnt/temp:(允许访问数据库并显示在asp页面上) " X- }! t- C" ^4 N
everyone:修改
; |& o4 Q6 C# c5 z' w- `' v(允许将来自父系的可继承性权限传播给对象)
" d* @( l- W! C% Y, E10、如何隐藏iis版本
- R& Q) b0 q2 x1 v! ?一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 / v5 r" ?# m3 p
iis存放IIS BANNER的所对应的dll文件如下:7 W, B/ m! ~$ z6 e; n# a: R
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 4 Y5 s. l% F0 \" F0 Y2 {
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL) L, @. P+ \. J+ U" R G9 i
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
A0 d9 X2 u# _. Z- _9 r你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 5 o; _3 G6 ]1 `* x# [# Q+ ]
具体过程如下:' [6 G* I7 q( [, b" w
1、停掉iis iisreset /stop
; b, ?; s. k4 C& r9 ^2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
. \+ S, [' U7 C3、修改 |
|
发表于 2008-1-25 02:15
| 