|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14247
- 金币
- 2414
- 威望
- 1647
- 贡献
- 1362
|
1、如何让asp脚本以system权限运行: {3 Q: Q# }0 A: K7 _
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ; x" j. V1 F# L- _4 n s
2、如何防止asp木马 1 o# s5 k' d$ B( V6 O/ y5 N4 p
基于FileSystemObject组件的asp木马
& @' b/ g. Y6 Z5 Y) v ocacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
* @2 n+ Z4 n- Jregsvr32 scrrun.dll /u /s //删除# U3 j D+ V; j& ]/ h: G9 T
基于shell.application组件的asp木马
' T7 y; n' j# [, ]cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 2 F, p7 H) A9 H" r5 n; o' _2 r. r8 x
regsvr32 shell32.dll /u /s //删除 , y2 l' Q) N6 X3 ^, Q
3、如何加密asp文件 , R0 K- K2 T: H
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
( m# Y. E, B! y5 E安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。8 T s( D* k1 d; L- e. u
运行screnc - l vbscript source.asp destination.asp
9 J9 q- ~$ X3 S* ?生成包含密文ASP脚本的新文件destination.asp( w3 k% w! b# t
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了$ G2 v% K2 ]( U& e z
但无法加密中文。9 |+ q4 V8 i9 ~! Y( H
4、如何从IISLockdown中提取urlscan
) m: @( r Y8 D! v7 F) _: f- I9 Ciislockd.exe /q /c /t:c:/urlscan
( L' R; y' v' s8 z* n$ t5、如何防止Content-Location标头暴露了web服务器的内部IP地址
5 I; G$ L) q! Y0 Q0 V" m执行
9 w! y: M+ r6 K2 a5 Mcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
y% _& o( i) F' t& N/ B最后需要重新启动iis
' P, Z2 }! s$ c+ g) H0 H# H! u& V6、如何解决HTTP500内部错误
8 p0 B) u3 y' x- {' q# V0 z, Jiis http500内部错误大部分原因9 y$ K4 S: H) ?* C
主要是由于iwam账号的密码不同步造成的。' w1 P [5 a6 h; c+ c
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。; |% ^# Z. J, a: W# f0 p( A
执行
) }) {- q S/ D- w3 ^' M; g- ]; Y/ Qcscript c:/inetpub/adminscripts/synciwam.vbs -v0 R9 z9 } o8 _0 p5 b
7、如何增强iis防御SYN Flood的能力( X6 k. ?1 M4 K( s
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
0 n+ z/ U/ [, ~2 o6 B5 l" i5 N启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。. N1 a6 ], |6 @& l1 y
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。% n( { w9 j; z3 b2 m- j. F$ p
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050) K" d s; R+ V2 h; N, ]! |9 m
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 4 h# I6 A7 a: Q4 S0 I) d
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
3 ?( Q, E, a( `& n- Z4 D7 X微软站点安全推荐为2。! b. R1 P. ~7 {, [9 L/ }7 ~4 f
"TcpMaxConnectResponseRetransmissions"=dword:00000001
9 y+ G& c8 G" X% i设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 4 e$ Q' E) |) B8 l1 k0 n
"TcpMaxDataRetransmissions"=dword:00000003# q; ]4 \; X0 H$ o; v! C# m
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
* W7 {4 l5 j1 p V0 w. \# D: o"TCPMaxPortsExhausted"=dword:00000005
6 [5 i+ }2 F" B7 \; ]1 S禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
5 `# G* G! W8 N4 ?9 V7 z"DisableIPSourceRouting"=dword:00000029 h, o1 \3 O" [- G3 \' O+ h4 g
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
- Q& v! z- B+ G B1 Z& ]"TcpTimedWaitDelay"=dword:0000001e
. a: m, x0 X/ \- m
" O9 W; Z3 u% K: n1 ~) c9 C# y8、如何避免*mdb文件被下载
. \9 r6 }. u- h9 ~+ Q- }1 s安装ms发布的urlscan工具,可以从根本上解决这个问题。3 a% L) v+ i$ }: F' b' ]$ D
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 1 i3 ^. y1 o. [* n: f/ G8 l/ D
9、如何让iis的最小ntfs权限运行 ( `2 a' W2 K6 H( J& ^
依次做下面的工作: 9 y' o; R/ Y8 r
a、选取整个硬盘: / e N. I' ?* A, w/ w) d
system:完全控制
# |! z" z H: B1 t! M+ ]4 w3 @administrator:完全控制
2 Q7 J% s0 Y3 w, I0 W5 e(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: / ~: r f. f1 S- @' Q
everyone:读取及运行列出文件目录读取 : e3 U6 Q& Z }, }' v( X6 x# [
(允许将来自父系的可继承性权限传播给对象)
0 I( A* S: e. ?. _% @- L6 Wc、/inetpub/wwwroot:
4 |6 _- t2 M3 `iusr_machine:读取及运行列出文件目录读取
4 n) {9 a1 i4 ^! V(允许将来自父系的可继承性权限传播给对象)
7 G/ w( V3 P( x. {2 j& Ue、/winnt/system32:( k! [4 v3 z L: F3 B& G6 r
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - l: ~; r* C$ J2 Z
f、/winnt:
! f4 X1 X4 f- k- O选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 J1 S* D7 U/ o# w# O: _. `g、/winnt:8 P( U" d$ y; Z X8 k: a7 N
! E/ T( q9 f1 q" Aeveryone:读取及运行列出文件目录读取+ \3 W8 e s1 V* B
(允许将来自父系的可继承性权限传播给对象)
/ N( s! ^( o# m! r) t! th、/winnt/temp:(允许访问数据库并显示在asp页面上) % q% x6 _5 ?5 F! g0 z
everyone:修改 ; U; q( M5 @* _" g. R9 F# `6 Y
(允许将来自父系的可继承性权限传播给对象)
! `8 h L3 Z# C9 b" [/ p+ h10、如何隐藏iis版本
* I. Z5 ?# o% g7 R. E* h一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 `$ [! o! P0 r- j
iis存放IIS BANNER的所对应的dll文件如下:
9 h1 z0 U& H" ]! R! H4 CWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ' X/ m2 l5 H0 k* l3 J) Q) j
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL3 k) j$ Z& l8 W' X; K" W4 O
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL " I& c) L+ c0 [
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
$ { K1 r1 v* ]具体过程如下:" v6 G& \. d8 \6 X
1、停掉iis iisreset /stop # x, q% E, Q' }9 o, z7 K& G1 G
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件* N1 g3 a" E2 J% Y B/ v8 j
3、修改 |
|
发表于 2008-1-25 02:15
| 