|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14247
- 金币
- 2414
- 威望
- 1647
- 贡献
- 1362
|
1、如何让asp脚本以system权限运行; c, @8 z A7 `4 d# D @, [+ s
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2 d* p: J8 w* f! M- [8 x$ f2、如何防止asp木马
9 e; ~: F8 w% @, e0 w基于FileSystemObject组件的asp木马 3 l K7 n$ t( k
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
: }6 u: W! \, y' d0 b9 B" vregsvr32 scrrun.dll /u /s //删除
. [7 ]% F3 f0 t1 |! r/ e基于shell.application组件的asp木马! P% Q# o# Q9 x U& w
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 4 `; p- X Q5 `" z( ^ @# k- Z
regsvr32 shell32.dll /u /s //删除 # D& |# B/ Z! k9 |. ]
3、如何加密asp文件 6 g. f9 z% p- _9 n% _# n: U/ D
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 9 k6 |& e4 h$ f- E* k, _
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。" r6 |; f. {7 A3 J2 K* T$ w$ d
运行screnc - l vbscript source.asp destination.asp
, O. E; [; Y7 K$ d& v生成包含密文ASP脚本的新文件destination.asp; ^/ v( I8 u* l! f: V
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了$ z, A; ]3 j! G0 e8 C
但无法加密中文。1 ]' ?" B' p9 g3 V
4、如何从IISLockdown中提取urlscan
* a5 I$ r; P$ Tiislockd.exe /q /c /t:c:/urlscan
8 w4 u# A7 \! \5、如何防止Content-Location标头暴露了web服务器的内部IP地址 6 F3 v3 L. e3 c4 P3 L
执行
8 r6 w! t7 b: o/ @: B0 [% bcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
: [1 H8 i3 x) \+ x8 ?最后需要重新启动iis 1 j" n# s& E* K5 \4 T) W
6、如何解决HTTP500内部错误$ L# f0 x8 Z3 F" c* x$ l2 v
iis http500内部错误大部分原因3 t; ?& `# d0 G- E) A$ i
主要是由于iwam账号的密码不同步造成的。6 G# @" l) L6 `0 m Z, R+ v
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
6 f9 f7 h" B' \, f5 W$ `执行 / n$ t4 J, b6 k4 t# F2 `3 ~* i
cscript c:/inetpub/adminscripts/synciwam.vbs -v
- L- s6 M# O- i2 F7、如何增强iis防御SYN Flood的能力
8 x2 w: W# n% T$ y8 I) p# t: X" [0 Q7 S1 iWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ) |7 @% ^) j# f1 p# W
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。/ U7 W( b( `, c* A
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
, H/ _ f4 o& l"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
4 d( P" O* K: O, E9 Q- Y7 q9 _设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
0 {; V9 H1 Q+ p' x9 A% ]) c. Q' {项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
8 j4 k" ^4 l* f" n1 w# A6 u微软站点安全推荐为2。4 f; j7 }3 _$ D$ R+ S
"TcpMaxConnectResponseRetransmissions"=dword:00000001
" G+ @0 I0 r+ Y$ f0 v0 ?4 o设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
5 @$ a+ h/ e0 V1 b"TcpMaxDataRetransmissions"=dword:00000003! y! j3 \ Z. @
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。/ S& `9 \' W' e* {. D" F) h8 c R
"TCPMaxPortsExhausted"=dword:00000005
b7 F2 Z$ l( j' r+ D禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 , u% _( A; C$ A) ]3 w
"DisableIPSourceRouting"=dword:00000029 Y2 Q% w% [5 T
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
" G8 @% w# Y8 C, L( p7 V" d- o( {4 v"TcpTimedWaitDelay"=dword:0000001e
( Z, X+ o2 a* L2 _7 ?5 f" y/ i& x+ I# i/ [- o; C9 z. h7 `6 X( a
8、如何避免*mdb文件被下载
# ~3 u; p d4 ?1 v- `7 J安装ms发布的urlscan工具,可以从根本上解决这个问题。' J; |7 x# M. |' A: p
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
3 H0 H5 S& ]$ M( l9、如何让iis的最小ntfs权限运行 ; b' l0 [% ]' ]8 Y
依次做下面的工作:
1 P" \0 C9 Z; ]0 Z+ a1 x6 wa、选取整个硬盘: Z/ z# J* N( W; \) B" I$ x% W
system:完全控制' K2 z! A* S1 N" ?5 J c! H* ^1 v& B
administrator:完全控制' l5 o9 w% `7 o4 B
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 6 M. d7 G% l- D- _( u
everyone:读取及运行列出文件目录读取
/ X9 e( ? q( ?. V' c(允许将来自父系的可继承性权限传播给对象)
9 Q$ \2 a( f+ p! Ic、/inetpub/wwwroot:
- Y; s" T. U0 k: n6 ?iusr_machine:读取及运行列出文件目录读取# O6 O6 u& N' t# x& C0 C
(允许将来自父系的可继承性权限传播给对象) w4 z6 b( f3 j- ~5 L; e; q
e、/winnt/system32:
$ o. ^8 a. d# h选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * `& H4 n3 G9 S
f、/winnt:
6 @# ]$ B+ a7 m( ?& X% ^/ K+ A2 M选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 N( N6 c# g+ r8 }g、/winnt:
; c/ N" W2 ~. n! H2 G1 f) x - I" N! \* S6 j
everyone:读取及运行列出文件目录读取% D6 S2 u' A/ ]+ d# a6 {
(允许将来自父系的可继承性权限传播给对象)
6 ]5 R4 J: l2 D7 b- y' mh、/winnt/temp:(允许访问数据库并显示在asp页面上)
6 \: F0 B$ y- X; _) i9 keveryone:修改 * ^5 G" C5 K7 S$ e- I1 V
(允许将来自父系的可继承性权限传播给对象)5 u* B6 }$ X3 H* ~" f8 i C- M
10、如何隐藏iis版本
) V2 b2 O, X" n' c* H一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 7 {2 P/ L& ?7 u1 G# p2 w+ @
iis存放IIS BANNER的所对应的dll文件如下:
' n5 A4 g# O! n9 p* h3 V0 cWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL [0 l$ ~- X/ F# J( }/ ~# U. U
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
* }0 b# C& f; |+ K! @SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 3 h: A0 d p" |5 B# F# f! T
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 . [/ c' a/ Z, `' @
具体过程如下:
9 V# v' [9 v5 w- H5 h, C1、停掉iis iisreset /stop 0 y5 O" L2 Z% w" {, y
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件+ `. C6 v: }3 n! s
3、修改 |
|
发表于 2008-1-25 02:15
| 