|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
6 q) p% e9 S1 y* m3 e修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 5 J3 i" n& ~/ p/ }/ U: {
2、如何防止asp木马 * t* z- ^9 ^5 v" V: }; @
基于FileSystemObject组件的asp木马
* [/ t( a; o$ M% Jcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用& n" B) r7 U4 ]1 N! }! C
regsvr32 scrrun.dll /u /s //删除
+ ~( J* k; z" k& \2 N& I1 }基于shell.application组件的asp木马
* e2 p2 Z! u! l4 ccacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 + ~- X6 a2 ^/ ]7 I
regsvr32 shell32.dll /u /s //删除 . X+ ]7 H$ i9 T9 }+ S2 v
3、如何加密asp文件 3 {) g+ U4 Z0 m+ f& V% o( ?
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ s) K8 k4 s- p! ]7 G0 d; ]! u6 Q安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
" D5 u7 a% U: h& t1 S9 o7 y) f2 f运行screnc - l vbscript source.asp destination.asp
2 t7 u8 C1 d4 j5 m8 o生成包含密文ASP脚本的新文件destination.asp
/ h, ?# \1 D' G" z- L( e6 e用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了2 F( Z6 B) ]! e8 E
但无法加密中文。/ [5 }- p4 o, Z
4、如何从IISLockdown中提取urlscan 7 B: [8 s! Q7 e0 Y
iislockd.exe /q /c /t:c:/urlscan: Q2 k0 @* {9 a7 `9 \2 n
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
* j% y0 p1 ~- Z" ?& t2 j3 T$ ?执行
. N. f) |- [6 P6 d) B* Scscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
+ ?" a$ [- z5 N8 ]% w7 e最后需要重新启动iis 3 I& |" x& t* V/ j+ m8 o; F
6、如何解决HTTP500内部错误 @9 h% s% O [9 p* G* g6 |1 H
iis http500内部错误大部分原因% n5 e3 ^1 A2 b' q+ Q8 _
主要是由于iwam账号的密码不同步造成的。1 X' l' G# r( T$ U) X- X! D% h
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。1 B2 Z# |5 e K1 r' n2 Q+ y
执行 2 x* n# g! |' Y9 ~- K, T+ r
cscript c:/inetpub/adminscripts/synciwam.vbs -v, e& d7 U' L* ^
7、如何增强iis防御SYN Flood的能力9 S( e8 f' M1 [% @8 Z
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
" |6 C! P2 i% {/ f6 T ]- I启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
: T6 k/ l% a# D"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。; g! ~0 ^0 r. L1 U2 U
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
, [5 N6 V' C" Y5 i8 Z! M% N, N设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
% E- r6 p. m! f- H' x6 `1 f3 m项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。% v& [3 C, L" `7 i f7 P) L
微软站点安全推荐为2。* t3 W7 M% F7 g5 k$ [4 q
"TcpMaxConnectResponseRetransmissions"=dword:00000001 & M! Q6 q+ ?/ m. H2 h6 W2 ]
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
`) h% W: |9 L7 O* z# @; G"TcpMaxDataRetransmissions"=dword:00000003
# O6 _6 e/ h$ @! d4 F# ]' ?6 G设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。1 E* w$ i# H2 H% V8 i( ^+ n/ H# o
"TCPMaxPortsExhausted"=dword:00000005
3 ~( E$ q( X9 E% j& Q% R5 M! F禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 " `4 K# H7 w& M( l$ m' h8 G) w
"DisableIPSourceRouting"=dword:0000002
4 i) O2 Z) B2 e. f, K* J7 g限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。, o2 Z: q! S4 w1 U h0 y! _
"TcpTimedWaitDelay"=dword:0000001e
7 }2 G" U- Y; `7 }
+ ~ W7 X6 D: V8、如何避免*mdb文件被下载+ t' R& i1 M" q' g) B5 c
安装ms发布的urlscan工具,可以从根本上解决这个问题。
8 I! D% e- ^" I p. T, U3 i同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 . k* h* |! W! X5 o: j
9、如何让iis的最小ntfs权限运行
- I& L% V3 v9 \5 Q5 T依次做下面的工作:
8 Q. \7 F; _, }( ua、选取整个硬盘: 2 q! L" h% I) G+ L9 ?
system:完全控制
% T8 ]2 X( b7 I: Gadministrator:完全控制& t/ M' N3 e( j5 G+ m
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
: u( c& b) U! ]7 Teveryone:读取及运行列出文件目录读取 , L; K3 N1 x7 c/ [1 P' |2 _7 X' B
(允许将来自父系的可继承性权限传播给对象) " g; d' O9 V5 e, h* ^5 \
c、/inetpub/wwwroot:
8 c3 u) m- {0 z6 V, S/ ciusr_machine:读取及运行列出文件目录读取 ^. O, p0 ^% |5 {) Q5 L7 \. O
(允许将来自父系的可继承性权限传播给对象)1 U) j" E& ? u) k/ d2 n: K
e、/winnt/system32:
3 e9 H8 W ?" l4 ^1 n( i% z选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 % M+ L+ q! \% C: i7 H
f、/winnt:
" `/ O; |! Q3 B" W( q# O选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ m6 y# ~; h9 y$ J" ig、/winnt:
9 @9 S" k* Y' y! Y. y0 v
- d q5 ~5 @: n' `" u0 O! t$ ueveryone:读取及运行列出文件目录读取
+ d0 \' h8 Y& a$ S(允许将来自父系的可继承性权限传播给对象)
: ^2 y$ o7 p; [* e. G* c8 wh、/winnt/temp:(允许访问数据库并显示在asp页面上) + D3 f0 o0 ? B2 M' r i% s
everyone:修改 8 h5 l: ~ [6 D9 g! H" M. a8 |
(允许将来自父系的可继承性权限传播给对象)
3 \% e. C& R6 n# H10、如何隐藏iis版本
" L2 Y7 ]5 H% j5 c一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
- V: @9 d! u8 d' \- Biis存放IIS BANNER的所对应的dll文件如下:
e/ \; b, K5 p! sWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
6 f; O' h' b: m' {4 V* f( X# UFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
# A9 `& r- p+ w) \9 _0 j0 SSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL ' s2 T& V( x# a6 K
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
$ y, }- {% X5 O. [1 ~7 g5 E具体过程如下:
/ [4 r/ A# i- K' t- q9 T- F1、停掉iis iisreset /stop 8 I; g+ w) x+ I
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
$ X% }. C& v) a; r3 P) K3、修改 |
|
发表于 2008-1-25 02:15
| 