|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行
7 c. m2 b6 U1 C3 j9 m0 B# v. t修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... & }" H8 b( K7 p0 K# z2 w( O
2、如何防止asp木马 ' Y3 s8 z1 ^; n# {$ B
基于FileSystemObject组件的asp木马
. I1 O! T E9 g+ x: O2 L+ Q) D% e. ]cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用5 X, C3 D: S7 J, K
regsvr32 scrrun.dll /u /s //删除
7 T( Z8 Z8 M! P5 L o5 q; g% G# @基于shell.application组件的asp木马
+ j; n% E0 B) Z- Bcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
& M# Y+ ~. j" _! Bregsvr32 shell32.dll /u /s //删除 7 h! g) `" L& F# J7 n& D1 c
3、如何加密asp文件
& m) X# M; @5 |+ j9 _9 n从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 8 s, @% P4 l% e4 _ f6 n# c
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
9 m7 O2 Y( \1 M5 ~运行screnc - l vbscript source.asp destination.asp
9 U j6 ^; x; I4 F: x% t% h生成包含密文ASP脚本的新文件destination.asp
0 A4 p+ f9 J0 d- z. h! w用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了2 @7 H, x& y+ e1 ?: B7 U0 s1 ?
但无法加密中文。
7 q$ m* E/ w+ K: }4、如何从IISLockdown中提取urlscan
- j$ {8 X, B$ ? s' O D5 j* Qiislockd.exe /q /c /t:c:/urlscan0 s# ~1 b) y" W, K/ ^
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 ' [7 T# X# U4 w- C. G6 t
执行 : K* Y( ^( i( q; v* P) O: T# J
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True f( Y4 g$ [/ G1 @* m
最后需要重新启动iis + I& k) y, u+ ]7 D6 X+ f
6、如何解决HTTP500内部错误
0 I& L; i2 v' q2 K8 |7 Z* C: Jiis http500内部错误大部分原因; h& R$ `; N' U$ A I! e5 T* y X
主要是由于iwam账号的密码不同步造成的。
7 I$ ~; z3 l; m7 E" m7 X我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
& O& j2 ~8 u) m% T9 }3 y3 g执行
8 R, ], ]' w8 t8 L- dcscript c:/inetpub/adminscripts/synciwam.vbs -v
7 k% W+ ?/ V* q. F! {& z1 s/ S7、如何增强iis防御SYN Flood的能力6 y) G6 J* `. U7 ?$ T
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] * n: E. \' W+ R K e+ l) w
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
+ T- m: Y* r9 q- f/ a, n3 X6 ["SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
% o* p# k! ]. H# d' ^- Z+ J"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
+ S1 r; N& _" }4 U3 ^& N设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
6 x) j- }7 {; P6 Y. r项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。+ x8 `0 z0 f5 O9 ?
微软站点安全推荐为2。
/ E3 i: m0 ^4 ` L"TcpMaxConnectResponseRetransmissions"=dword:00000001 1 e' B( [; _9 G. C9 N: |
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 + h! r7 L9 Y v
"TcpMaxDataRetransmissions"=dword:00000003
w6 H: k; v; j; C1 F Q5 D设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。9 @% G/ K& o6 _2 f5 y: {) o7 N
"TCPMaxPortsExhausted"=dword:00000005
! z) A* g2 a$ p5 X禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 & L8 K+ n. K$ P3 I* {
"DisableIPSourceRouting"=dword:00000026 e, G" r" A/ Q, s. d
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。& y+ l5 i) F$ T7 ]
"TcpTimedWaitDelay"=dword:0000001e
) B# h# R: J! o% _: ~3 K1 q
7 S# o& f& U( q: {6 j" r8、如何避免*mdb文件被下载, y) C. }/ C2 W" X6 W3 k" r( ?9 K
安装ms发布的urlscan工具,可以从根本上解决这个问题。
+ h4 M3 t( ~; t+ z' z) u& f0 Y2 m8 c同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
* }. d! D, R4 W% d: r9、如何让iis的最小ntfs权限运行
# d+ ?3 S# _. `+ u- f依次做下面的工作: % e5 p) i- E/ W) ]( w3 w8 s
a、选取整个硬盘:
( R' J3 |+ N- I% [system:完全控制7 j- }0 N5 p: O0 Y
administrator:完全控制/ t1 M" c8 A/ S: e; y0 l
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
, c& e, P: t$ j# u! Meveryone:读取及运行列出文件目录读取
7 n( B. n# i+ R4 e! m; {7 [(允许将来自父系的可继承性权限传播给对象)
$ p3 ^& H. }* y4 W2 Ec、/inetpub/wwwroot:
$ a$ w: Y$ v* X0 n2 C/ Biusr_machine:读取及运行列出文件目录读取" r6 X: E3 Y. D4 b6 p9 Z* U' A
(允许将来自父系的可继承性权限传播给对象)
6 _& G5 |: N" _* q0 _4 q' [e、/winnt/system32:
1 U9 r0 `$ P4 M! @5 }" A选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
0 X; s# O3 Q; x: Zf、/winnt: # P) z' m/ _; g8 ^! @; e- p" h
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ n0 A# y7 E# Pg、/winnt:! g" T* }$ u) ~* m& i+ u
8 q ~# u4 z+ H% ^. m: Ieveryone:读取及运行列出文件目录读取
& L" _* M3 D+ M5 V(允许将来自父系的可继承性权限传播给对象)
* u$ E8 G5 p/ a9 L/ Eh、/winnt/temp:(允许访问数据库并显示在asp页面上)
* Q, p9 }) V: H* Yeveryone:修改
3 y, a. E9 }% L+ R(允许将来自父系的可继承性权限传播给对象)
) v* O0 r$ v. d* G5 m% j% r10、如何隐藏iis版本 3 \) @9 t5 S6 h+ @# ]' i
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
3 T+ z1 t8 S' L) ]5 p' {7 Qiis存放IIS BANNER的所对应的dll文件如下:0 |) M: [% O+ t/ |) P$ I. Y
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL 0 W& V7 o2 q! Z* G) }, e3 j
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% t2 F# ]+ X& M& |- G3 f# kSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
: B4 N y G0 r) q你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ! F# Q2 g% O3 a( Z; s* ~
具体过程如下:0 c t$ y5 y. I9 t6 {$ |
1、停掉iis iisreset /stop
: Z- F. i0 I0 t. \, }2 e2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
% k% N$ i/ y9 c& l0 |# e+ I+ q3、修改 |
|
发表于 2008-1-25 02:15
| 