|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行
7 b: A4 o( ^9 w2 a1 F修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... . E. J1 C7 @$ X' d
2、如何防止asp木马 * D. ?1 x5 r3 E9 [
基于FileSystemObject组件的asp木马 & l/ J: r( g; D- H& k9 K
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
3 E) {; @$ |: U1 n: U/ K7 {regsvr32 scrrun.dll /u /s //删除
" G: z3 p5 X+ `1 O5 f0 Z. {, Z+ \基于shell.application组件的asp木马
8 m7 g, m# h2 q% _4 V5 _cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 + V2 Z V r7 ^/ j
regsvr32 shell32.dll /u /s //删除 9 Y4 {+ S) P9 @" J5 }
3、如何加密asp文件
6 H+ d# d% ?: t) Y- c' Z从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " y! x+ D) d2 M
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。/ B$ ]1 p% k1 D' g. P) w8 h
运行screnc - l vbscript source.asp destination.asp
) {6 X `1 [% j2 K M/ u生成包含密文ASP脚本的新文件destination.asp- q3 h% b8 d9 p' Z
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了, r6 w0 r2 X# u% `3 e9 f
但无法加密中文。; O( m, [, d" ^0 E+ }
4、如何从IISLockdown中提取urlscan / `/ l m& H* L1 ^: `# P
iislockd.exe /q /c /t:c:/urlscan$ X, O! G0 {) Y ]$ M7 N6 e8 n$ S
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 # w) p+ x5 @( Z& o) Q
执行 , M! Z6 e6 Y$ V3 G5 d, M
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
, j( c/ p; h$ ^# R0 ~最后需要重新启动iis
. _+ Z8 C) R8 h; y7 B6、如何解决HTTP500内部错误& e" m4 L: i2 j
iis http500内部错误大部分原因, i! ^2 ]+ l4 \, M/ k3 P
主要是由于iwam账号的密码不同步造成的。
4 O+ C7 @4 O) g& E7 X. Q. H5 `; Y我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。5 e1 T/ v1 H1 L- q
执行
# b# G' y8 T$ x8 k. F0 Xcscript c:/inetpub/adminscripts/synciwam.vbs -v0 P5 T" P7 s3 S3 c
7、如何增强iis防御SYN Flood的能力
3 o* |" F3 V6 pWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
* A- }3 y; w: h8 \- D; l启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。6 w' v3 L( c8 S/ C
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
" Q' o/ M% {( F5 t3 r2 T" C4 K"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050" o/ `8 g: J+ W$ v! r4 a4 c9 c8 C, Q
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 , U d; r y5 ^% R
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。0 L8 \. I \2 \) a2 t% b4 @6 z! v
微软站点安全推荐为2。0 Z( L/ q2 _% x) T. y3 O) I# _
"TcpMaxConnectResponseRetransmissions"=dword:00000001
: U# f6 R8 `3 e. _% E. S" {+ C# h设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ) i$ E8 Y- |- f2 F
"TcpMaxDataRetransmissions"=dword:00000003
5 L3 Z9 f! P9 h0 ?0 J设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。) e9 ? C' P9 y/ }
"TCPMaxPortsExhausted"=dword:00000005 {! @& R; _6 h
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
$ ~- c* |8 n, _6 f& o"DisableIPSourceRouting"=dword:00000027 T, i" T5 Z8 |% d3 J& g, ]4 R
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
( X8 d1 t9 v" m) j0 G"TcpTimedWaitDelay"=dword:0000001e* K0 @4 A6 S6 g0 h, [
7 |' a/ M9 C2 `: O, a+ [, Z1 u
8、如何避免*mdb文件被下载) }) Y+ O i6 W
安装ms发布的urlscan工具,可以从根本上解决这个问题。
+ @8 Q T+ Z: S* [% l" ?同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 h- P2 F' n1 n3 L& R# `4 ]
9、如何让iis的最小ntfs权限运行 1 B4 p; R, S( Q/ N( ?
依次做下面的工作:
) I$ B/ C, X2 r* m9 t3 |0 Q: Ba、选取整个硬盘: $ A; M+ Z# K% A( [! G, ?9 D4 s
system:完全控制+ O# d5 J3 s/ Y
administrator:完全控制
; A2 c) A8 U: Q3 v8 X# d" K) r(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
2 c; ~# K0 [6 T8 t; F; V0 h6 `everyone:读取及运行列出文件目录读取 ( Q% R2 ]6 c8 p( t
(允许将来自父系的可继承性权限传播给对象)
) ], P& Q) S# Z% ~c、/inetpub/wwwroot:
v2 @ j; E9 r- t8 P! D3 Iiusr_machine:读取及运行列出文件目录读取& ]( |. C2 b: f' |; Z
(允许将来自父系的可继承性权限传播给对象)
8 T3 [3 w- e- t+ [e、/winnt/system32:& c$ Y- J# V0 p$ V; [3 \
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 5 W! ]$ {1 _8 K$ I
f、/winnt:
J3 f, [. n- R0 F* Q选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。& o& O- Z- W7 z& n8 T
g、/winnt:
5 e" \+ A. T) b6 Y5 f' i
" l/ N9 p3 u c, }everyone:读取及运行列出文件目录读取5 d# V6 T9 O3 U! E. n0 O
(允许将来自父系的可继承性权限传播给对象) ' ?! T ~% J. Y. H9 [/ P
h、/winnt/temp:(允许访问数据库并显示在asp页面上) " y! V: b0 W$ O
everyone:修改
+ W) \. V: u0 E+ F(允许将来自父系的可继承性权限传播给对象)
" w2 e7 q& _% w) N2 D( O10、如何隐藏iis版本
; M( q2 |, p, H6 T6 Y一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
" S' r+ D4 k$ y6 K4 }8 z/ h( oiis存放IIS BANNER的所对应的dll文件如下:3 c3 d$ ?/ L: |- ]; `/ O2 H5 K
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
! A6 q/ F* @3 S3 m/ HFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
6 i1 i6 Q6 y1 f$ L) h* e0 z' `) ^SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 5 y9 O% ` R# e3 J1 G/ a
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 - A# e' v4 W6 C4 T! I
具体过程如下:
% z: e; {- j- S' R+ b1、停掉iis iisreset /stop # D4 {. L& v' P
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件2 \; l, r5 H% W$ y- F! d
3、修改 |
|
发表于 2008-1-25 02:15
| 