|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行
. o+ F# P0 u$ E- k% J( W5 B修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ( A! ]4 z' s" L0 T: M
2、如何防止asp木马
) w/ v7 E4 _! n9 |8 \: E基于FileSystemObject组件的asp木马
: S" _" P; M) u3 G& }. h( T; s! p/ Y! pcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
o' i, N4 Y( I, j5 Qregsvr32 scrrun.dll /u /s //删除
& O. V W2 r! m' _基于shell.application组件的asp木马
- H5 i# u# N8 k1 Z% ]cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 " h: c5 L9 h0 y
regsvr32 shell32.dll /u /s //删除 $ M2 l" e0 H2 o
3、如何加密asp文件
' e( v8 X' b S# S5 B8 Z: h从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 % G9 [" w) h- K; V
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。5 u7 Z( B; I+ g
运行screnc - l vbscript source.asp destination.asp
# p5 r1 z. \% @6 R2 _, E, {5 B生成包含密文ASP脚本的新文件destination.asp8 H0 y7 W8 o: S! U* ?* W% K
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
' G9 n5 w. n: |) w. N7 Q但无法加密中文。
3 c; K+ Y+ R, Q' O( C4、如何从IISLockdown中提取urlscan ' z5 ]1 }6 H1 @8 L4 m
iislockd.exe /q /c /t:c:/urlscan& I8 R1 q2 W) |4 V1 ^# H; B
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
4 Z6 S% @( v, S& x" ^, W% p执行
/ S) k& p s9 y6 Tcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True ; e6 W! m O: |* N o$ _' F
最后需要重新启动iis
+ l, {7 Y) ^9 Y% J8 e* A6、如何解决HTTP500内部错误
6 X- y0 k0 f; r6 i1 e" a8 I" iiis http500内部错误大部分原因/ H0 G' X1 }: K0 T- x, Q' i& b) v
主要是由于iwam账号的密码不同步造成的。
; u5 ?4 L& x6 J9 @9 ~9 V6 `5 O. k2 i2 n我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。$ I- n( B$ m: h) ^
执行
% g! m3 Q) I/ h9 C0 d6 Ecscript c:/inetpub/adminscripts/synciwam.vbs -v6 \2 n9 Q% {( y3 o: K( }$ S
7、如何增强iis防御SYN Flood的能力
- H k4 t5 _3 K9 q' _; u; AWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
. u' K$ i$ L0 p3 ]' w1 n! J3 n2 D启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
2 l' I5 ]/ A8 W"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
9 h- ^% i2 v$ E- e4 a"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050& u# H) z3 B4 Q9 ~2 n7 ]
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
! o3 r' i, ^; ?/ [项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
$ ]2 \' w8 h$ l0 @$ G4 s微软站点安全推荐为2。
% z- @( a* ?8 U; h( c3 g"TcpMaxConnectResponseRetransmissions"=dword:00000001 . e; E- [% h' G& p, D4 O. O
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 + p) P" d0 q/ G# P1 R/ ?' L% P
"TcpMaxDataRetransmissions"=dword:00000003
0 ^2 U& J% w; |, ?* u- f$ C设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 t. W# L5 y$ U% v1 y' d5 H/ D
"TCPMaxPortsExhausted"=dword:00000005
' F+ \ D, t+ ?: d- X/ {禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ) }# v- ~$ }$ [5 ^* \; c
"DisableIPSourceRouting"=dword:0000002 M7 Q5 C9 Y' f5 F* U8 H# z
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。$ f) S' u+ S* L
"TcpTimedWaitDelay"=dword:0000001e
' S/ W- @9 T/ A4 @/ O
; y3 f- \ v' V+ `5 j# \# O8、如何避免*mdb文件被下载$ I& @, @% S- \. [6 f+ Y+ G3 n
安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 W/ h( x3 y/ i: k' r6 Y1 Y$ L8 `! x同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 , T5 z/ Y* U* |2 L* T, O
9、如何让iis的最小ntfs权限运行
6 L# p. I3 M. |5 w依次做下面的工作: ! ^' p( r- I" \9 h" X% ?) C
a、选取整个硬盘: 7 K' J) j" U8 o% [$ e2 S' ^
system:完全控制
* Z: l+ y/ v; _* Gadministrator:完全控制
. E7 o1 [$ |' L1 P(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
/ ?$ r9 ^8 |$ R4 Eeveryone:读取及运行列出文件目录读取 3 U; o2 d% S1 P1 K' ?' y( E& {
(允许将来自父系的可继承性权限传播给对象)
2 D* f! S( Y4 n& J7 i$ \c、/inetpub/wwwroot:
& ]. }. u& ^5 z# Q9 e) m" Qiusr_machine:读取及运行列出文件目录读取5 X9 x. U9 u$ V) `9 s, v
(允许将来自父系的可继承性权限传播给对象)& B* r0 ~: R/ x) A% G# E3 v
e、/winnt/system32:
- M% B! ]+ @! z+ s选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
2 P. ^. Y+ {& {7 jf、/winnt: # |$ y, G( y6 u7 R7 O
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" T* @9 g9 k; t3 {, Dg、/winnt:
. y) x* K" G& {
# ?# \+ q- v# s" Meveryone:读取及运行列出文件目录读取
9 ?% Z7 I2 M0 p; ~; y(允许将来自父系的可继承性权限传播给对象)
2 K$ a6 r* T- ?( ?h、/winnt/temp:(允许访问数据库并显示在asp页面上) / N: f. ?% _" K
everyone:修改 / F6 k9 H' K m. \4 T" V7 d7 N
(允许将来自父系的可继承性权限传播给对象)2 G( s6 L7 i& j- N1 v- b" e( L
10、如何隐藏iis版本 3 ?7 W2 O/ p5 \1 K6 x J4 E
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 J) @8 E0 }& w) Ziis存放IIS BANNER的所对应的dll文件如下:
. B; n! L" y, e! U- ^. A4 \, eWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL * v6 ]+ R8 Q1 U; e: |! k2 l1 o, ^( F
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
3 ^) r6 S1 n, M% `# X2 xSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
' z; {9 u. ]7 n) c- l4 S$ i- t你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 1 C& u4 t; k. c4 V
具体过程如下:4 e' d/ X5 \% ]- D8 C5 H6 d
1、停掉iis iisreset /stop
2 D# P) a" u4 o H d2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
. l+ [7 {% N% ^( a+ I( Y% O! `3、修改 |
|
发表于 2008-1-25 02:15
| 