|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行* Y7 U0 z7 s# P7 Q6 F
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
" s4 }' g. w( v6 G3 z! m& h, @2、如何防止asp木马
7 R3 H# j. q3 P% O1 Z基于FileSystemObject组件的asp木马 8 y, i! a) e" k0 G/ l; Z2 Q* p
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
- i5 \6 s, V: l6 `3 Y5 Dregsvr32 scrrun.dll /u /s //删除+ L: w! O' y9 S7 }* Z# L
基于shell.application组件的asp木马
; ?9 S3 i! ~3 d5 f1 v( ~cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 5 Y# ^- S! a1 G& J( t: ~
regsvr32 shell32.dll /u /s //删除 # Y9 V' q% s9 l: Q9 F0 Q
3、如何加密asp文件 - t) q' S6 r( I) b) f6 P6 q
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
) @9 A9 @! R7 b) }' `* S! E( B" ^安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
2 l( V3 {& i" O4 n3 v; {" a运行screnc - l vbscript source.asp destination.asp
r8 Z7 V: E% b生成包含密文ASP脚本的新文件destination.asp& p9 P7 C0 W$ c3 @
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了8 O1 b7 A0 L& i3 ]1 i' i6 f
但无法加密中文。
* ]2 _) k+ K9 D0 D' M3 E4、如何从IISLockdown中提取urlscan 6 w E( k: F! d) Y. e$ }- ?
iislockd.exe /q /c /t:c:/urlscan
3 W8 R) i. e5 u9 Z5、如何防止Content-Location标头暴露了web服务器的内部IP地址
) t: J- ?$ L2 Z+ `+ m6 ]3 K; N7 V执行
6 n1 M1 R8 U$ vcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
. k ]# R! q) s/ j" c) W, r& n5 x最后需要重新启动iis
5 |& z% O8 u. F8 D: k) {0 M6、如何解决HTTP500内部错误
{' V3 I3 _7 }, yiis http500内部错误大部分原因: S2 q }2 Y6 V- H% ~
主要是由于iwam账号的密码不同步造成的。0 o/ {- O" [" ]9 \( i$ G' `
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
, ~9 g* E; n/ K' k执行 7 o9 f% Q9 o0 r4 f
cscript c:/inetpub/adminscripts/synciwam.vbs -v, r" ?1 e5 g& U5 t
7、如何增强iis防御SYN Flood的能力
9 l" l/ l1 W' M9 R1 NWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
8 E$ Z0 }! Z Y3 V8 G; m启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
& q# `2 Z; b) Q( R6 W" V8 b. w: H. P"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。( |! a: G" P# P/ `4 ?2 B, p
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
! }1 @+ |$ x5 ], \- _! X' E7 M2 S设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 9 }2 C) b/ C; D/ ]3 f
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。- j# t7 N/ s) `/ ]3 k
微软站点安全推荐为2。
1 [- f$ A, n) b# i"TcpMaxConnectResponseRetransmissions"=dword:00000001 2 h) P9 D, q* i# o3 B4 v
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
! X. U' c% x2 F"TcpMaxDataRetransmissions"=dword:00000003" ~* [3 V1 V0 s/ O/ D2 L: {/ k
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
5 k* ^! `$ _; W% j3 Y- f"TCPMaxPortsExhausted"=dword:00000005
$ h; Y6 J8 i/ O1 J/ c; K禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ( Y4 _2 q3 v/ C7 s, E" p" L
"DisableIPSourceRouting"=dword:0000002; g! d( ^ j# f
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。: Z- F' Q# I+ K; U+ F* n
"TcpTimedWaitDelay"=dword:0000001e! r& R& r9 {$ Q- M. d( M* }
4 ]- \8 ^7 `6 W' H9 s/ z
8、如何避免*mdb文件被下载) u$ s2 g7 N4 ]9 J+ W
安装ms发布的urlscan工具,可以从根本上解决这个问题。& _& D+ Q5 _! z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 k2 @- ~" ` q: h2 S! T+ ]; b
9、如何让iis的最小ntfs权限运行 8 t- D9 M' |3 n% v5 S( t
依次做下面的工作: & s8 a2 I" J! O2 @. [+ k1 w
a、选取整个硬盘: 5 F0 I9 B/ W/ u& ^* S/ D; V
system:完全控制$ {* N+ \) ^+ i. @4 r
administrator:完全控制
: k3 x1 w+ d+ I$ G) o/ b(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: + }2 f) ^3 F9 }# w
everyone:读取及运行列出文件目录读取
5 t7 }3 I9 S- n+ k' @6 F" b(允许将来自父系的可继承性权限传播给对象) : k( B' W4 N8 ], R9 h# ^& S
c、/inetpub/wwwroot: 5 e* h( R: z9 n$ B; S
iusr_machine:读取及运行列出文件目录读取
+ [1 _% q( q( U0 E& Q7 z3 h(允许将来自父系的可继承性权限传播给对象)
: a& r6 a/ {$ K2 f: }2 l8 Ge、/winnt/system32:
]- S6 M5 `# Q( t9 \/ o选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ e2 _. [; [. ~' Y: Qf、/winnt:
. q7 \$ w% G& l. F选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。& q" b! Z# ^9 o% {/ ]( J( T3 }9 ]
g、/winnt:
9 M; |+ C& p3 P5 \# P
; Y: B8 \" g- h8 ]& o6 f5 Q) E3 ieveryone:读取及运行列出文件目录读取9 i3 u, m4 D+ V, z8 ~! k% v* O
(允许将来自父系的可继承性权限传播给对象) & {' r) `( [- A" g* X
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
: m- \# G" v& k) C- y0 b+ V4 Yeveryone:修改
' M* d- s6 z- N% }% x3 N(允许将来自父系的可继承性权限传播给对象)
1 @$ G Y0 z6 P, U" K2 A4 J6 i- T10、如何隐藏iis版本
* e8 I7 e$ M, I一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
% J' H# m' f; F2 @* Aiis存放IIS BANNER的所对应的dll文件如下:& H' y( C0 P1 e' ]
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 1 Y! U: m# `0 C3 y% w
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
! w/ h- x; h( }; m3 v0 M8 zSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
4 Z( U! M( Q: v7 v0 e你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 3 ?+ I' b8 s2 x R& h# F; y3 Z
具体过程如下:
* {% p S7 ?* @1 w1、停掉iis iisreset /stop
& t. `8 e' C$ o3 N/ k$ H2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
( b8 p9 M% u* c3 c3、修改 |
|
发表于 2008-1-25 02:15
| 