|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行
3 Y# N' d0 T1 L# A修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
' I- E8 t l7 a B, O2、如何防止asp木马
0 y u4 h" n9 U' m j基于FileSystemObject组件的asp木马
0 [7 T5 A8 a% `) z; Acacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
8 k' @; C0 @0 Mregsvr32 scrrun.dll /u /s //删除. I) H, J( O U/ U9 U% ^. m
基于shell.application组件的asp木马( \+ J8 @5 p3 g H* ]) w
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
# ~9 v+ q2 ^% u" J! K5 K& C" Y8 {) @ nregsvr32 shell32.dll /u /s //删除 " V2 [: }) ]% ?. Z3 M" m
3、如何加密asp文件
; \" s& I M' C+ I. o: `从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 0 [8 {% S( V1 j& N3 W% \# w
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。" p9 i4 L* ` W1 f0 d
运行screnc - l vbscript source.asp destination.asp
4 v; f6 T6 c) @* F# U; ~生成包含密文ASP脚本的新文件destination.asp
2 @3 E. }& n3 I$ y* K1 Y1 B; C用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了: Q9 @2 _; Z* P4 B6 Q5 m* _
但无法加密中文。6 M! P( i5 p4 a
4、如何从IISLockdown中提取urlscan
: w! p+ i4 E# q7 iiislockd.exe /q /c /t:c:/urlscan" u9 u6 G( @, r4 D x9 K7 y2 f
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
6 g) R: h) @! v执行
3 I L$ N) N5 ?cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
+ K; H; i: J3 B6 k1 f N- i/ e最后需要重新启动iis
1 g9 t( v! S/ E6 c3 ]2 i8 }6、如何解决HTTP500内部错误
/ \1 e- M* ~4 O; yiis http500内部错误大部分原因$ C2 r7 I2 \: Y1 R, w b
主要是由于iwam账号的密码不同步造成的。5 O& H2 F" {0 w- R; w
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。7 U5 Y8 c; o, ^1 T; s1 p
执行
7 F8 |! {1 d6 p7 ~cscript c:/inetpub/adminscripts/synciwam.vbs -v h4 y3 P- i* D1 d2 o9 z2 r
7、如何增强iis防御SYN Flood的能力
3 z6 }' |: x$ G" vWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
5 e5 N& J1 _' b启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。' t& P! x% V1 A
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 g: m9 J1 r5 }4 P8 ~"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
2 K y1 l1 l; o设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
& {2 x& M ^, H& q项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
5 Z. {5 B! ^4 c微软站点安全推荐为2。0 D" ^8 g) F% O1 F5 F$ [
"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 n# q* q" p/ k8 x" |& j5 t8 V) ^) } q设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
5 y3 t* j. o$ N"TcpMaxDataRetransmissions"=dword:00000003/ s4 ?) P# n( t5 d1 O
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
) T) S5 N. r' y i7 v! N+ }"TCPMaxPortsExhausted"=dword:00000005 # Z+ r3 \6 N# S1 F. s& T
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
# J$ j) z. H0 b9 Z3 H" @! y"DisableIPSourceRouting"=dword:0000002: l5 [' H4 c5 \% U$ W7 Q
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
( _4 |- c4 O0 c5 T"TcpTimedWaitDelay"=dword:0000001e
& I2 L6 c; | y) x% e2 g4 T' R# v9 T }* h4 ^: @
8、如何避免*mdb文件被下载
& m9 I& d X2 A& r0 R安装ms发布的urlscan工具,可以从根本上解决这个问题。
) L. a, h v0 {5 s2 \同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ( B0 R1 G0 X) o: e( v" w7 q9 c
9、如何让iis的最小ntfs权限运行
+ J, }7 Y1 @0 E( e5 l) Y依次做下面的工作:
; @; A0 Q) T, Q, Y; @: Z/ Aa、选取整个硬盘:
- m* | H. L; {4 U4 Osystem:完全控制# L4 R/ q2 F7 S2 t( O: c `* y, w
administrator:完全控制% c. M/ C$ X- z6 e- M* U% e% c4 B% u
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: ! p/ l( l8 W3 ?# }
everyone:读取及运行列出文件目录读取 3 F* Y9 [& u+ ^! h4 L8 u
(允许将来自父系的可继承性权限传播给对象) & V, E- n8 s5 _" m. [" j
c、/inetpub/wwwroot:
/ _$ ]7 J7 q) {% ^$ `8 ?9 P0 K" liusr_machine:读取及运行列出文件目录读取' a1 i/ i5 L9 w
(允许将来自父系的可继承性权限传播给对象)6 ^* [0 z: L, x e G, p
e、/winnt/system32:6 o% E% y" w% I) E/ s$ {
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* Z/ _. B5 h# P4 D$ Bf、/winnt:
/ u. d* M3 M- Q1 x f* b/ v W* v选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
W+ D% K" h" k1 ^& A* ~5 O5 kg、/winnt:5 Y( c8 I* K" G8 n+ Y4 v; |
( I/ B; X( \/ N7 `; D/ |
everyone:读取及运行列出文件目录读取5 V6 b/ C" t$ N3 \
(允许将来自父系的可继承性权限传播给对象) 5 B' `2 J+ Z" K. }+ G
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
& \+ E$ t% b' e% g9 ?" i" s( j1 Meveryone:修改
! [5 i5 v$ z" k; n- h$ i8 w(允许将来自父系的可继承性权限传播给对象). l8 L" H( v V: Z( I$ j5 ?
10、如何隐藏iis版本 % r+ Y# w0 \+ Q, G
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 f0 f( m" g/ C1 \" }iis存放IIS BANNER的所对应的dll文件如下:1 G" D8 k) _1 e1 x6 w1 c) k4 n4 G
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL + l- R9 g& d7 I: W; s
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL& A9 }& d+ G1 ?# E8 f3 o
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 9 V5 Y, h' z8 @" f5 D
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
, e$ o% c6 Q' q6 [- |具体过程如下:% s, T6 a4 E# z9 c, J3 t! f. r
1、停掉iis iisreset /stop 5 |8 H& v* j) q, L3 c
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件/ X1 S0 L0 h ?. p1 d
3、修改 |
|
发表于 2008-1-25 02:15
| 