|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行
) T" f# C) x- Q& J7 n# h0 |修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
& L0 p: n+ u. L2、如何防止asp木马
6 O/ b* y3 a$ h. b; h& r3 c基于FileSystemObject组件的asp木马
* ~. F3 w7 r% l8 Tcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用/ R& {7 V; z5 |! p* L
regsvr32 scrrun.dll /u /s //删除
( Y3 N9 m9 i B; G基于shell.application组件的asp木马
& [* F$ h; }% y" Y) ]( [cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
8 w. [# q. d$ N1 }regsvr32 shell32.dll /u /s //删除 - S8 s$ G5 H3 F) X. M* L
3、如何加密asp文件 f( S0 u. t3 `" b
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 W9 L( p$ ?' a# ^; t安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
) q9 _2 p' Z4 \% n3 k) B运行screnc - l vbscript source.asp destination.asp
/ g% t- w9 m0 `8 ^/ S4 H/ O生成包含密文ASP脚本的新文件destination.asp
A! V5 I2 Y- p, O* q# e2 Q用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了- `. H7 D: O# f& f! v2 I
但无法加密中文。
8 g+ f/ b2 p0 e6 F4、如何从IISLockdown中提取urlscan 1 c; {& A8 y% b5 a4 N
iislockd.exe /q /c /t:c:/urlscan
0 o! u/ {1 M; d/ ?$ C+ v5、如何防止Content-Location标头暴露了web服务器的内部IP地址
3 {: d7 y' {: N' Q6 m3 o, {( q! J执行
+ T, C! b& N3 p2 a. Zcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True : \/ I. w/ q& T) }; U* f9 B
最后需要重新启动iis
# [/ ~ ?5 N! u r! L8 k$ C, t7 Y6、如何解决HTTP500内部错误$ f4 u/ V( \1 ~) u
iis http500内部错误大部分原因; J4 X) _4 h$ B) a
主要是由于iwam账号的密码不同步造成的。. P( u$ O4 k9 {) O! v4 }
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。4 }8 d7 z. Q" J7 c. E
执行
, Y0 Q: e) f6 b( z* P' X. ]+ qcscript c:/inetpub/adminscripts/synciwam.vbs -v
% k% w* G) K& D' N2 Z7、如何增强iis防御SYN Flood的能力
% d% p) n3 Y$ K- [8 P; e$ Q. bWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 3 J+ v: S6 e6 ]' d8 u' r5 _
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。2 n: d, R1 w {# G
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
O& u# B% o7 ~$ m% S% Q1 \"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000503 q. E& h) R; k) Z o
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
& n6 C5 z _$ ~' N _$ n4 X项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。0 Q# l) l. U, B$ ]8 e
微软站点安全推荐为2。 o+ r: Q- |( @7 _0 p
"TcpMaxConnectResponseRetransmissions"=dword:00000001
/ z- ~2 P% ]; T0 {' J设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
$ f- Y6 s) z1 F0 M. q1 l: F"TcpMaxDataRetransmissions"=dword:000000034 Q8 {' e% f+ @1 s9 S
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
. H" m' T/ ^1 ~) E. y# [% ?1 N"TCPMaxPortsExhausted"=dword:00000005 6 B. s l3 M" Q3 L) C- r* x
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 8 \5 X9 a X3 q, f: K9 D% R6 H# n6 J
"DisableIPSourceRouting"=dword:00000026 d- M# U3 d k
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。# ]* y' s5 W5 {2 \8 O& ~
"TcpTimedWaitDelay"=dword:0000001e
" u1 _4 @" E$ x0 r
: A% j$ k3 Z4 A% N8、如何避免*mdb文件被下载2 S' Z* ^) O4 ]5 }! m
安装ms发布的urlscan工具,可以从根本上解决这个问题。8 h8 {! [; @% R$ [$ b. z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ' f6 g3 Y& }) q
9、如何让iis的最小ntfs权限运行 0 z8 ]5 C) G2 X
依次做下面的工作: - k* h8 z; L8 }$ b7 U: g* b
a、选取整个硬盘:
3 ?, i4 N f3 t0 `system:完全控制: g: E. ?4 J( a( C
administrator:完全控制
/ X- @2 I' s8 B4 U/ ]& }/ ]" p- G(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
0 @8 z. t! R# E5 `2 Q K2 m" veveryone:读取及运行列出文件目录读取
; x6 w! K: K! F(允许将来自父系的可继承性权限传播给对象)
& d+ t' k1 U, K- G! j6 Ic、/inetpub/wwwroot:
; l# y% V8 u* S; x2 u8 s9 riusr_machine:读取及运行列出文件目录读取
- c B; K9 ]5 v, ]' @& R3 `(允许将来自父系的可继承性权限传播给对象)* T6 k/ B/ Z) L5 ]
e、/winnt/system32:
' z& a3 H$ h. T6 Z! F选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * N( ~) q; C, X) f8 u d3 m( k
f、/winnt: ( r! w- P2 O3 R. B
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
z. v& Z8 A4 i) m( n5 fg、/winnt:0 [; y( o+ O* E7 |8 A0 H2 x
: E& h Z7 o' B# Reveryone:读取及运行列出文件目录读取! a% N; \* m! g
(允许将来自父系的可继承性权限传播给对象) 3 F* Y! r% R7 b6 o% c& n/ m2 y
h、/winnt/temp:(允许访问数据库并显示在asp页面上) # ^: s$ O. {9 z7 H) W- K" G0 l" t
everyone:修改 d/ k# a5 R7 n7 S2 P* p
(允许将来自父系的可继承性权限传播给对象)
0 ?2 g/ @: U# |6 ^! V; r$ t10、如何隐藏iis版本
- k9 ?7 o9 \- K5 ^, N* |一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
4 X9 \# P, F$ |3 Wiis存放IIS BANNER的所对应的dll文件如下:- @; v- J- ^( E" D- ^ P* C
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ( h* m0 ?- M& l) z: }1 E2 E
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL! W" e, k" I# U* C1 d: @+ ?! W
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL ! p ]2 K5 T. o" \" q8 Z$ b: c9 C" m
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
6 X7 K" b. G) o H0 Z具体过程如下:* J7 ~1 g% m Q. J
1、停掉iis iisreset /stop
+ K$ Y q, H! Z/ ?2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件2 [3 Q. }. b* e: J/ \% d( g
3、修改 |
|
发表于 2008-1-25 02:15
| 