|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行; m* e6 T6 l7 M% z
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 5 N' e8 V4 Y6 G" o) { z- i( X7 Q0 u
2、如何防止asp木马 $ h9 s& W# g! W+ T
基于FileSystemObject组件的asp木马 * D8 p1 C- H" l: j* Z
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
1 O' B8 ~% J2 A) F' W& e: Z# i+ S( Aregsvr32 scrrun.dll /u /s //删除" u/ W0 z$ Q7 }8 }4 ]* ^
基于shell.application组件的asp木马6 C. y- Y6 D" A& H
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 0 `$ l( `# c" ^: ^7 ~
regsvr32 shell32.dll /u /s //删除
- n8 B7 @: n. Y3 e; {. G0 k3、如何加密asp文件 " S$ A# v9 R7 @1 T7 _" g/ t6 o0 i
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 2 M) `1 ?9 R' |' A+ Q. ]) |0 i' N
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。' W: x, ?" D( T2 Q$ `4 @! B0 c/ `0 q
运行screnc - l vbscript source.asp destination.asp
# _5 b5 u1 I y" c: |* z+ ?生成包含密文ASP脚本的新文件destination.asp
% t( S) D* @1 J' N% o5 I用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( i8 \, p! j) L1 V) ~3 D. a" ?. a0 F但无法加密中文。
9 G- N/ M6 y1 N& u2 Q/ `. n4、如何从IISLockdown中提取urlscan ( C9 W% y( T, O# F U- r, K
iislockd.exe /q /c /t:c:/urlscan
* {% r4 h3 j8 {1 c6 T) l5、如何防止Content-Location标头暴露了web服务器的内部IP地址 4 u' U6 S# D) @/ z
执行 . z4 q# V, A% e, t, g, w$ S
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 2 A6 i( R( h. d5 I
最后需要重新启动iis : h; \- i4 g2 J# J4 o# f$ {2 U
6、如何解决HTTP500内部错误
1 s5 M$ d9 P# e9 Q( Y* a- K2 ]; S1 Fiis http500内部错误大部分原因
3 z g, V3 V/ Q$ A: V主要是由于iwam账号的密码不同步造成的。
( [( C: l$ N0 ^) b) `& l我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。- u$ [* j7 P5 n& z
执行
1 C" O3 p* N- y( ~cscript c:/inetpub/adminscripts/synciwam.vbs -v
5 B' ?6 g% K6 u) \+ x4 e3 |& }7、如何增强iis防御SYN Flood的能力: Y2 G9 w' G- R) J# j, J
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
" O& [ Y" G% W9 _启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
/ k& }7 a$ J9 w2 W"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。# N; J" Z" v9 ]+ u) i% u
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050* K1 \" E/ E3 t B2 v( ?
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 # S! {# u7 J2 J8 v0 [
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。1 _& R) y2 E* ^. M+ U6 k
微软站点安全推荐为2。
( y1 ] X- p$ j1 k' V"TcpMaxConnectResponseRetransmissions"=dword:00000001 $ y5 W4 E( x8 L. Z
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
8 \" i5 l' S7 q' ?7 s"TcpMaxDataRetransmissions"=dword:000000032 c5 I' {, g7 q8 k1 h
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 }7 j D w x" d* A7 x3 U"TCPMaxPortsExhausted"=dword:00000005 , c7 ]" g! f o% R# y$ x
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
% {; _( f$ C+ Y. N"DisableIPSourceRouting"=dword:00000025 q( U h- Z) K) \4 c! l) |* [
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。. Y' W% U7 s, Z0 H% f/ ?
"TcpTimedWaitDelay"=dword:0000001e, z9 g% g Z3 `4 [, _; @
# N* T, O0 \0 V6 n, Y
8、如何避免*mdb文件被下载
7 A2 P- p; g" C1 }安装ms发布的urlscan工具,可以从根本上解决这个问题。: W3 T2 \$ d; n
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 - v: G$ t, @8 E8 [2 n! h
9、如何让iis的最小ntfs权限运行
2 B8 B6 L2 [6 |# v' E依次做下面的工作: 1 i3 R# H* n& T0 |: Y
a、选取整个硬盘: + O' [2 E) L4 t& B
system:完全控制
9 V# O5 i6 Y" ~# R8 A( Madministrator:完全控制/ r5 A; e) x( ]5 O' Q
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
7 F5 P+ r% W4 M1 s0 ? J" w: feveryone:读取及运行列出文件目录读取 7 G! I p% F2 U8 y
(允许将来自父系的可继承性权限传播给对象) ! b) G/ D9 Q: M$ C$ c
c、/inetpub/wwwroot:
$ u; T6 b+ F) ~& y3 q4 Miusr_machine:读取及运行列出文件目录读取 t' r1 s, v! q' ~0 {; z
(允许将来自父系的可继承性权限传播给对象)
: k9 ]* x6 b! P1 F7 Ue、/winnt/system32:* {& p: o5 Z0 E- k# S
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 B) h/ f; X t t" l. ^! ^& Df、/winnt:
0 L. m6 }7 ^7 P! e4 b选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& k, x+ i8 `+ ?$ V- U/ fg、/winnt:0 f. z* }( y; F& g
# J2 S2 W6 e& X' z# D+ z7 }* Xeveryone:读取及运行列出文件目录读取
/ {3 J0 j, e1 J0 {$ ?% w(允许将来自父系的可继承性权限传播给对象) 6 j+ {' P2 V! ~5 `
h、/winnt/temp:(允许访问数据库并显示在asp页面上) 5 a- |$ |. S4 ?7 Z! x# p( }! o
everyone:修改 , P4 x! F. x8 ~9 h5 v1 v
(允许将来自父系的可继承性权限传播给对象)$ D5 a1 R: o* N
10、如何隐藏iis版本 " Z! X% E) R7 R3 @# s
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
) N2 C) e# @7 l/ Tiis存放IIS BANNER的所对应的dll文件如下:
" _$ Z" r5 c8 A# E3 ]. ~) eWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL , i7 Q- ~9 J& R% {
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL2 A% X8 J& y9 s A
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL " t( R; G: I1 z: a2 h
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 # \/ p/ c7 u1 l! o- x% m5 x$ T
具体过程如下:* G+ X4 n' S n& W
1、停掉iis iisreset /stop + }+ g8 ~: S# J: I9 a' i
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件% P- g6 v" y( a( y
3、修改 |
|
发表于 2008-1-25 02:15
| 