|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行* q. [ y* B9 M. c
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
/ L; b" w3 i! Y0 L: G2、如何防止asp木马
2 H6 m# C0 p0 L# y$ S基于FileSystemObject组件的asp木马
/ L7 |( X; z; ?9 J8 Q- C- D. [cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用6 F- L5 R; [9 z" n+ c
regsvr32 scrrun.dll /u /s //删除/ s, M! F9 Q6 y4 \ L" s4 h
基于shell.application组件的asp木马1 Z5 F! [3 M+ d x1 m
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 + {! ~0 P: d) {9 z
regsvr32 shell32.dll /u /s //删除 / p& h! U( x: d- |& p$ s4 [2 a, X
3、如何加密asp文件 ) {/ `' h2 j' G/ x1 X5 W
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 + w2 L( S6 O9 G0 E
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ {6 Y3 D. p9 t/ U) C% U运行screnc - l vbscript source.asp destination.asp7 X- |( Q P6 r) o* `
生成包含密文ASP脚本的新文件destination.asp
. O: K: h' G$ Z用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
% i' }2 }; ?1 ]1 z1 k8 g6 t# F但无法加密中文。4 f: K- j5 j& d0 W- o! k1 c6 x
4、如何从IISLockdown中提取urlscan ( e* [2 U4 U7 t; p# t
iislockd.exe /q /c /t:c:/urlscan" @) l# B4 V8 Q8 Z/ R& o
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 - g3 R: ^/ C- \7 D/ h! Z
执行
/ i$ F5 S; x8 ]5 fcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
( {+ l( W- R! @; d) Y- Z }最后需要重新启动iis
5 f! l8 V& A& P4 t2 c3 w) q; B6、如何解决HTTP500内部错误5 e% v- U5 Z( m9 ]% _7 B
iis http500内部错误大部分原因& a9 B1 @1 w4 j ^& I( I; `
主要是由于iwam账号的密码不同步造成的。; l$ ^/ [7 W ~* t4 i
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
5 d& b" F, J4 U8 L, W, K! A执行
* T% u8 z1 {$ o; scscript c:/inetpub/adminscripts/synciwam.vbs -v
0 T; G" j* a% `+ q7、如何增强iis防御SYN Flood的能力6 v+ j6 n$ }" s' o
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 0 {7 i1 |" d3 J) v- M4 J3 q i# E' l
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。2 \* D, ~% W! i0 w3 a8 N1 u
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
+ E% s) A1 i1 r"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000509 ^" g8 ]$ }: _' R) |) W0 U' Z
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 X- J. u1 k2 ], k0 T2 s
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
& b1 }% G: h% V* m微软站点安全推荐为2。& v& z( u' b/ M( Q0 @ [1 a7 B
"TcpMaxConnectResponseRetransmissions"=dword:00000001
) \# X/ o A1 n& D* `6 N% A. d设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
' v- [0 C1 e% E. d8 L"TcpMaxDataRetransmissions"=dword:000000032 d1 E" {& A5 r0 {" ?$ t
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。$ h6 u c* c3 L" t
"TCPMaxPortsExhausted"=dword:00000005 % Y4 y8 K m; `# f" S+ ^ p
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
) w, a$ [: N! o6 @# c3 n"DisableIPSourceRouting"=dword:0000002
0 A" e |* O$ e限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
1 v9 q, ]' F: c) }8 x"TcpTimedWaitDelay"=dword:0000001e+ D) d6 r3 D9 [) h
7 l4 T1 i4 ?. y7 M8 L) s8、如何避免*mdb文件被下载0 V0 c: z$ n C; a( v$ A
安装ms发布的urlscan工具,可以从根本上解决这个问题。5 H, o, C! U( i! a1 e0 |' x
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 . a# Z) z" B/ c/ G5 j* e
9、如何让iis的最小ntfs权限运行 2 T4 F, K! _/ t* w
依次做下面的工作: 5 V3 q5 j, [7 q+ ~6 s
a、选取整个硬盘:
/ D0 w$ l. T1 Dsystem:完全控制" B C2 ?" `: B( s& [
administrator:完全控制
4 Z+ o: H. n7 @* C- e3 _(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: ! p0 @, g6 Q+ ]7 Q) `8 ~4 `- A% S
everyone:读取及运行列出文件目录读取
3 Y# E! U7 n/ J! Q, t2 ?(允许将来自父系的可继承性权限传播给对象) 9 ?3 u: R6 A. Q$ l
c、/inetpub/wwwroot:
1 c0 ~7 \- v! a" |6 u. _: _ diusr_machine:读取及运行列出文件目录读取
0 R( P! Z# u- |% ^9 ](允许将来自父系的可继承性权限传播给对象)* O# r0 y$ d! n) m
e、/winnt/system32:
- ?2 D! c0 T5 M9 P选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. |+ D# a6 k4 F' L6 i" W8 \6 ^6 nf、/winnt: 6 c5 h, x0 \ m8 g2 P
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# \. V) T' ]. z6 Dg、/winnt:
% y; E: [/ S" ^: a. n! ~ 5 H/ ^6 s( ^* J7 e( R4 m
everyone:读取及运行列出文件目录读取- h7 O1 A* q, l
(允许将来自父系的可继承性权限传播给对象) % I5 | ], I" Z
h、/winnt/temp:(允许访问数据库并显示在asp页面上) ( Y" s0 X8 u/ B
everyone:修改
d" {0 c" V, I* q. h4 M) K6 j(允许将来自父系的可继承性权限传播给对象)
0 ]% t: D- x2 n6 E# E5 n; |10、如何隐藏iis版本 : b. `& x0 m& `
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
7 E$ |" ~* j6 [0 |iis存放IIS BANNER的所对应的dll文件如下:* H- k* N5 z" Q* n0 M2 P
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL " \" M2 u' o& [( M
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL, O# ?9 W) [- ^" Y: O( y
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
6 p7 _7 q! M+ N% j你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 2 ~, U3 D* R: d6 a3 K
具体过程如下: F: v+ v& D6 H1 {
1、停掉iis iisreset /stop 0 d+ H# v8 k5 ^- V
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件% c0 |- }, T( Z3 O1 m' i7 x
3、修改 |
|
发表于 2008-1-25 02:15
| 