|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行
. c2 m7 o" O/ `( S修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 1 |' q- v0 ?1 N
2、如何防止asp木马
! l7 J7 i; {& h8 W; f+ _基于FileSystemObject组件的asp木马
- E c9 l+ X1 u. \3 zcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
! O' M, ? \3 S. hregsvr32 scrrun.dll /u /s //删除
3 O3 l( x' h) `基于shell.application组件的asp木马/ z1 P$ M+ P: M. j1 e
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 6 J1 M+ |4 Q9 t% k/ Y
regsvr32 shell32.dll /u /s //删除
& B) O- a+ ] ]. ^- e1 o: u3、如何加密asp文件
2 `6 k7 s3 k+ Q# t3 O, K+ G+ a) R从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 , }- z4 X$ P7 t- C
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 s) `* C! {) U# [4 [- ^- f
运行screnc - l vbscript source.asp destination.asp/ X4 M' q7 W/ {: {5 m; I. ]* Q+ E' ]
生成包含密文ASP脚本的新文件destination.asp. j" f8 N6 {! O+ X% w) K
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了0 a9 D+ f7 B- J) o s. R" u
但无法加密中文。, U) k' W* k8 {1 g9 H8 T& q
4、如何从IISLockdown中提取urlscan : x, Y* x$ p; ^& Y" | l
iislockd.exe /q /c /t:c:/urlscan
" C1 f" r: h- W# q5、如何防止Content-Location标头暴露了web服务器的内部IP地址
w3 @; J9 o6 V执行
0 w: @( t x0 ]- Y8 K# \; |- @4 B" v' _cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True , {) \7 N( X& z0 O
最后需要重新启动iis
. c7 l `; a9 t6、如何解决HTTP500内部错误5 f' M& c; [% a; F1 b: W& W5 I
iis http500内部错误大部分原因
# ^# i D* M; [- {7 |( s; g主要是由于iwam账号的密码不同步造成的。
0 _; F, |* m3 E我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
; n. b. X+ n: B' K执行 $ q6 \( _4 C* r/ K f5 m
cscript c:/inetpub/adminscripts/synciwam.vbs -v
# Z8 F* l, s4 S$ y7、如何增强iis防御SYN Flood的能力
3 }, X, j0 y, R9 P8 k; `Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
[6 e9 Q0 X; u2 U启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。! g' r5 {' ^; f8 x
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。! [& }: [4 ]) K" p+ [* d
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
: l- o. B$ F$ X; h设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 $ |% T' R* ~4 W D; W% f' w# M
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ~9 p/ `& U3 g4 C- r
微软站点安全推荐为2。- w" |. _2 F4 c5 `6 Y
"TcpMaxConnectResponseRetransmissions"=dword:00000001
; f6 c. q& Q; n( V& p设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
$ C5 `" ?, N \: T$ P' k3 t"TcpMaxDataRetransmissions"=dword:00000003: _( Y. k2 w% @6 S" r+ _
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。* y( Z# [3 V6 U
"TCPMaxPortsExhausted"=dword:00000005 + D5 h, Y% R5 v' t" e$ \
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 8 \$ I4 h1 }+ `0 W" }/ O4 {( d$ b
"DisableIPSourceRouting"=dword:0000002- m2 R& u4 o+ l+ c; t9 ]' e, m: h
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。8 p. _: ?0 R; i: Z# `
"TcpTimedWaitDelay"=dword:0000001e
0 n* S6 e; p8 o4 X, U* T, T: v2 w3 `9 R! P& s4 K5 A$ s% Z9 F" w
8、如何避免*mdb文件被下载3 `" M' Z5 z& E! I3 p
安装ms发布的urlscan工具,可以从根本上解决这个问题。
3 Y9 g$ D. p6 M* E. V同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 & E7 d( [3 X* f: F# o# w3 [, M) d
9、如何让iis的最小ntfs权限运行
- Y9 C& p/ |1 z" a7 E依次做下面的工作:
^. f+ C$ X$ ], k% \7 o& m% Ya、选取整个硬盘:
2 m" ^- o- D8 Q# ?system:完全控制
3 H, s( N, W1 jadministrator:完全控制& ?0 f' U* H" E" v
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: : n4 [! s, ?1 B3 L9 q& e
everyone:读取及运行列出文件目录读取 1 F- E5 q r# S% A' [. U
(允许将来自父系的可继承性权限传播给对象)
% J) r# |# G4 l* q) Q; ]c、/inetpub/wwwroot:
4 w |% f- h# \ _6 Wiusr_machine:读取及运行列出文件目录读取4 }0 i/ D! @9 t- A1 P) ^3 ^
(允许将来自父系的可继承性权限传播给对象): e. ?4 q0 y+ X5 H
e、/winnt/system32:
- u9 ]: S/ y" Y \7 D选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
0 V9 D; L' R0 z3 P, g: s( tf、/winnt: " a4 v1 X' v0 h2 m& C
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 M9 d6 X) \9 r% i: mg、/winnt:
' h' b: L0 J$ D) N$ W7 F % N+ a" l$ G' h* m8 X
everyone:读取及运行列出文件目录读取
# v( D9 s h% f' R(允许将来自父系的可继承性权限传播给对象) 9 d/ I A! B8 X% C- S' D
h、/winnt/temp:(允许访问数据库并显示在asp页面上) : e: t9 \# k: Q2 f: [9 ]2 f: n
everyone:修改 7 I; f" y& k% x3 F! o2 _ f
(允许将来自父系的可继承性权限传播给对象)
4 N% A) k9 W G0 M4 x. G) _9 A/ J10、如何隐藏iis版本 - C* Y( V \) }# T! G
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 K# q" E0 i4 k- D( `
iis存放IIS BANNER的所对应的dll文件如下:
* E @! O F% f* l; H6 [ qWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL * g+ k3 M, I9 M9 x" z
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL/ o, G# L4 U! N( T1 D
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
; l% l9 F6 L w/ y; ^你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ) T5 r. J8 f k/ A5 ]9 q
具体过程如下:
" x0 | y7 v2 q0 M- g! M/ H1、停掉iis iisreset /stop
8 x) E( }* C2 ]. t0 u. s6 T1 o2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件, z! {& |' g' c# q/ l5 D
3、修改 |
|
发表于 2008-1-25 02:15
| 