|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行1 x1 b) k5 g, ^( F+ n& Y+ `" j' l
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 7 m! Y0 B6 X! {
2、如何防止asp木马
; k) w) o' \# \基于FileSystemObject组件的asp木马 2 L: K7 o- I- [' ~ P) J& l
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用4 x4 C) {1 t& x
regsvr32 scrrun.dll /u /s //删除; ^# ?/ P* @# I* ~* T2 ^6 ^4 V' e
基于shell.application组件的asp木马
1 L8 F3 ]5 |8 B( P0 ccacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ~. y# Z1 k: E1 K- x7 s! F# ~6 n- b
regsvr32 shell32.dll /u /s //删除
% _8 @& Y) }; r: \% T, Z# i3、如何加密asp文件 & N |. o$ g- r4 {& Y# C, `
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ I: X! Y9 w; A# J ^( e# f安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
% ]/ q$ r& R, x: K4 m2 ~运行screnc - l vbscript source.asp destination.asp6 f2 t) f, F" _2 y" O _
生成包含密文ASP脚本的新文件destination.asp
# |7 \5 z5 Z' e7 e8 x& G8 o# D用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了$ J6 d! J6 e) |. J0 X" X4 h
但无法加密中文。
' v$ w" A( K a3 x- V4、如何从IISLockdown中提取urlscan
+ P7 L2 b7 O) W* }0 oiislockd.exe /q /c /t:c:/urlscan
' f0 P% S6 T4 ~ d/ B5、如何防止Content-Location标头暴露了web服务器的内部IP地址 $ U$ Y2 n; C) k
执行
4 H* P9 p0 D- ^& q. I2 Vcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True ' s3 g, A5 N0 |0 v) t
最后需要重新启动iis ( \$ Q2 S: C& K3 a$ e
6、如何解决HTTP500内部错误/ i/ m* K4 t- J; f, P$ w
iis http500内部错误大部分原因
* O G/ v) ~8 _% H; T主要是由于iwam账号的密码不同步造成的。$ Z* g) c% E. |+ C8 p' j
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。7 b9 l. V! r* y/ R
执行 0 }$ @2 S5 K+ x* w) p
cscript c:/inetpub/adminscripts/synciwam.vbs -v. ]$ A' v0 g2 S" A* N/ X, Z
7、如何增强iis防御SYN Flood的能力 p* I3 t( S- \. c3 Z5 b
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] - H. P9 W. |; @
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
: x/ ~8 ?9 m3 H# u" ^: y2 j% J9 Z: `"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 C& S4 w5 X' R5 X: g9 K1 P" |"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
( f7 n& m+ l+ X0 I4 _" N设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ( c: n7 U3 {& ?. b7 a
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。+ N% m; [" {' j0 G' F7 V+ O
微软站点安全推荐为2。
! K5 r7 b4 o. ~9 \"TcpMaxConnectResponseRetransmissions"=dword:00000001
) H% a7 K/ N) k" }8 ~设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 2 g/ |3 O$ I( _' G
"TcpMaxDataRetransmissions"=dword:00000003
6 i7 v, v! m5 s4 f设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
! ~8 u# i4 j. S: {3 V9 T& j"TCPMaxPortsExhausted"=dword:00000005 # U% _& O2 k# ?+ X& U9 n ]. \( c
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ( C/ F! Q) K# m- \. M$ D: {
"DisableIPSourceRouting"=dword:0000002
0 ^8 r$ ?2 I0 J. P: U限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。/ F8 k/ U% t0 ^3 U. C0 j" L
"TcpTimedWaitDelay"=dword:0000001e4 D$ G# z) g" v2 [* s
i5 z% L) d9 U* Y0 P# k# ^
8、如何避免*mdb文件被下载
3 g' s8 j+ R) R; }8 L9 I- @, o9 p( t4 a6 M安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 k$ f3 v" o) Z4 P# p同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) q8 W# N5 T' T7 x9、如何让iis的最小ntfs权限运行
/ }3 ?5 L S1 q& ]! S依次做下面的工作:
+ d9 ]% O; k4 D$ }a、选取整个硬盘: % J8 P+ ?: A# W$ T: r
system:完全控制
. u7 W* K, ~/ ]administrator:完全控制3 a/ x. V7 @* T/ o) |
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: * w; R2 e$ f2 K( I& V; o
everyone:读取及运行列出文件目录读取 1 Y$ V& W# l, B" V0 G
(允许将来自父系的可继承性权限传播给对象) # m, c r+ f% b: I2 \" g F2 u* I$ F
c、/inetpub/wwwroot:
6 l1 E/ D8 w3 tiusr_machine:读取及运行列出文件目录读取; B, p- H$ J$ v+ O4 R$ O; B" \6 Y
(允许将来自父系的可继承性权限传播给对象)
7 l& o# P0 k) b5 u4 c6 Pe、/winnt/system32:
( K# @$ v+ H) G6 i) l选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; k" {( s3 [ u8 d1 Of、/winnt: , b' C. F( B) R3 }
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。7 D! Z7 ~, u' x" H1 g& K
g、/winnt:
5 R5 B+ V6 K; T6 v0 J; ?8 v% c ~
; {: a; s* y- Eeveryone:读取及运行列出文件目录读取
) H n' M, b8 V0 z9 H(允许将来自父系的可继承性权限传播给对象) $ R- x$ f2 @, E3 \# h9 w
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
8 i1 k4 l3 ]* Zeveryone:修改
- n3 `) s9 X* o* Q8 H(允许将来自父系的可继承性权限传播给对象)
1 x% G) y& p, \7 ^10、如何隐藏iis版本
" t0 S, S% X- m! t4 g一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 5 {* f. F; W6 {9 r: `' T& o
iis存放IIS BANNER的所对应的dll文件如下:& I, _( b) N$ ?! y7 T
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL - p$ ~/ J# i" s0 @( F
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
1 q: F8 F) |& E$ @7 pSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
! r9 Y1 a, ?* J( w* L+ A- G你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 3 }* @5 Q; q, Q" o' f
具体过程如下:
5 c- _7 A5 F6 ] Y+ a9 ^) Q1、停掉iis iisreset /stop
9 F# P N1 z2 P2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
, y9 s3 B; S$ {, U2 b3、修改 |
|
发表于 2008-1-25 02:15
| 