|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行
: T4 W& D7 e% o0 N3 l: t5 a修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
5 D$ [- b+ H |2、如何防止asp木马
/ X2 ]: }/ W1 R5 a1 v基于FileSystemObject组件的asp木马 : v* U, {( G c) C$ h+ _% L; a; [
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用1 w: e. B, E$ Y8 \3 o
regsvr32 scrrun.dll /u /s //删除
) b( X; d; v& [$ q基于shell.application组件的asp木马, E8 c. m( d6 {2 T5 U c1 x2 c3 j& W! b
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 * Q R8 T$ V! I' K9 c' U$ F
regsvr32 shell32.dll /u /s //删除
9 b' @$ g# b- }$ l$ r* ^+ f! t3、如何加密asp文件 1 ]) S! O0 |6 K, q, A' z
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
8 j; n/ J% o0 Q- }& X7 p: a3 m) g安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。: Q- w: ~7 U5 [7 I' Y" F2 K7 x
运行screnc - l vbscript source.asp destination.asp
5 ~( Y# ~- d1 p5 K9 t8 _生成包含密文ASP脚本的新文件destination.asp1 ~, f. S, R. i6 x
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了( F9 D/ _. m) B9 c0 P5 ]3 s& }, r; g
但无法加密中文。; @" H) v$ q. m' i$ k3 T# z
4、如何从IISLockdown中提取urlscan + a' o' q/ E$ I6 `
iislockd.exe /q /c /t:c:/urlscan
4 H# s+ s& o4 z R" i+ l8 ~, p5、如何防止Content-Location标头暴露了web服务器的内部IP地址 - `& }: \2 i9 d8 m* Q$ t. `
执行
/ L' @, L) @4 O; Bcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True % W6 N p& I6 _9 {$ y; }, j. V
最后需要重新启动iis / U6 s9 h9 a- q: k8 n
6、如何解决HTTP500内部错误- i' @& z L8 i' B# W1 W5 y, c4 X
iis http500内部错误大部分原因' B; m, A9 n, a! \% I
主要是由于iwam账号的密码不同步造成的。
$ G$ |# f2 d/ C/ } Z9 g3 ]我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。* I. o0 d2 _% [7 E& u% U
执行 6 ?* w' M/ }1 o! w/ k
cscript c:/inetpub/adminscripts/synciwam.vbs -v
( b" O; m3 t5 v1 O' b; ^: g7、如何增强iis防御SYN Flood的能力* v- ?8 Q8 w! h/ c/ y
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] @) V, b. p0 n7 |
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。) e. k0 N' Q- S4 Q! w: s
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。" p+ I" j X7 x* r5 n r' ~
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
# Z" x, e1 J! y8 r) X0 B6 d设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
3 J: E- X$ k1 d0 ^7 T项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
- {" R, y1 {* k$ i微软站点安全推荐为2。
! k7 w1 a8 m* v4 A/ I( @"TcpMaxConnectResponseRetransmissions"=dword:00000001
, V+ C: p7 T, z7 F9 \5 J D设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
5 p% G$ G: H7 m! m( U"TcpMaxDataRetransmissions"=dword:00000003
3 [' V! _( Q- h/ q! P2 |9 O2 j% z设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。8 P& o% j! c7 W# v$ W5 f% @2 @% [
"TCPMaxPortsExhausted"=dword:00000005 / F+ _" x# p0 D; B
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
) p$ t/ X! }2 ~, T- n"DisableIPSourceRouting"=dword:00000029 ^- W5 h: G3 v
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
- W) J6 z- E5 f4 B& A0 D"TcpTimedWaitDelay"=dword:0000001e
6 ^6 j, o+ J6 k# h- y& w0 f0 X0 L* @$ O3 C' G+ C; v
8、如何避免*mdb文件被下载
" h# `+ G0 j w4 M# v$ O安装ms发布的urlscan工具,可以从根本上解决这个问题。 s/ |' v: m/ @ B1 I
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( `$ [5 l$ d0 q0 o: ]; _/ w& t/ `) `9、如何让iis的最小ntfs权限运行
( H& V' j/ ?! ~, g0 R# ]: \9 W6 N依次做下面的工作: 3 T9 N; u) g3 t! X
a、选取整个硬盘:
, V: g3 N! n; p4 s ]system:完全控制! N0 }) ]: h0 m7 ~ s8 m
administrator:完全控制
4 b( ]2 P1 U8 k1 w(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: ( i9 y5 C- n* @1 l9 q
everyone:读取及运行列出文件目录读取
" X1 [8 {# F: F T5 x(允许将来自父系的可继承性权限传播给对象)
* J( o7 C9 R# d% F( z G7 Z, B5 k& Ec、/inetpub/wwwroot: ( V* C; V6 l5 n7 o% P
iusr_machine:读取及运行列出文件目录读取
7 w" n& F# Y! b/ K$ Q(允许将来自父系的可继承性权限传播给对象)
2 I* `- q8 v. q5 me、/winnt/system32:
1 E }2 {! w/ h选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 K+ w. C( j. Tf、/winnt:
! _& H5 M* x( m选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ y* i4 H; R0 t- D* Ig、/winnt:
% L$ M" s/ S% k! W6 r
' j6 w7 u% w6 D7 B5 ueveryone:读取及运行列出文件目录读取
0 T" _/ e8 B0 t2 n(允许将来自父系的可继承性权限传播给对象)
5 g2 Q7 A8 u; Wh、/winnt/temp:(允许访问数据库并显示在asp页面上) / [8 W: m0 U/ u3 L8 @3 l- ~9 U
everyone:修改
2 |/ W6 d1 W; O8 A) V(允许将来自父系的可继承性权限传播给对象)- V& S) R3 b' [7 I" B8 u+ x. N
10、如何隐藏iis版本
3 T( J7 p5 D8 f# I; X6 o' M一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
; ]- T: o) t8 I0 R+ ^4 V9 g" miis存放IIS BANNER的所对应的dll文件如下: G1 q0 @: [+ v, S) t9 _
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
' e" A' h n1 \& Q5 eFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL. H. z7 F+ Y$ T& @: t
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
( Q# f" c7 O3 @0 K4 U# L! r/ K' w你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 2 P* d0 S! C% Q6 o9 v
具体过程如下:3 e# B: h* m) |! W( n8 T
1、停掉iis iisreset /stop
7 R! K' q. ~" t- y& \1 s6 I+ \2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
+ A% t& f/ m t+ D' q3、修改 |
|
发表于 2008-1-25 02:15
| 