|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14249
- 金币
- 2415
- 威望
- 1647
- 贡献
- 1363
|
1、如何让asp脚本以system权限运行
: Z( Z: \$ _6 {6 E0 w修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ( j1 a" E7 K8 Q& A0 ~6 n1 A* ]2 j
2、如何防止asp木马
7 P* U! t" K. e- p6 z基于FileSystemObject组件的asp木马 ) m5 K. s. x4 S: `# j- K) @
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
. x8 _! g' _9 qregsvr32 scrrun.dll /u /s //删除
9 d4 K2 L3 g& o4 l. p" p, e基于shell.application组件的asp木马
" T+ w) Z* ]3 f8 \8 P" H T0 q" _. ~cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
* |- B$ `; M5 Lregsvr32 shell32.dll /u /s //删除
9 ] J, s! [7 N3、如何加密asp文件 + r' |3 k5 U! T+ f) ~0 c
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 4 [! O3 T, n6 p8 u& b+ [
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。- `/ p% c- e7 V _
运行screnc - l vbscript source.asp destination.asp v0 w1 Y. _/ S5 ?% [( I- O
生成包含密文ASP脚本的新文件destination.asp# G% D, n6 J0 X
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了7 P) ^3 p% W8 Y. h
但无法加密中文。
, T$ T" ?; K: T- x: M; e' ]4、如何从IISLockdown中提取urlscan . M" g4 F5 |1 h8 U# _2 \
iislockd.exe /q /c /t:c:/urlscan
+ P* j5 B: {: N L5、如何防止Content-Location标头暴露了web服务器的内部IP地址 8 E) \' d1 _ Z
执行 . ^7 x: P: h1 R& s
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
: ~" @! ~/ m( u P, T' X! a" z最后需要重新启动iis x3 b& r: L5 t- p( f/ K4 w
6、如何解决HTTP500内部错误 T8 I8 F# Q1 o: r2 A! v
iis http500内部错误大部分原因
2 S; I, _2 i r7 D6 k! a主要是由于iwam账号的密码不同步造成的。7 T7 V( ?! L2 X
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
0 @* m7 P2 U9 l9 h3 Q执行 ' `& N5 A- u9 f: k6 ]
cscript c:/inetpub/adminscripts/synciwam.vbs -v
1 y/ P% O. f' @. w; V7、如何增强iis防御SYN Flood的能力
# k# l4 ~ v+ C- }3 ~& JWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 4 c! }, n+ @# G G
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
0 f$ t C: O8 M! f; Q; q"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
* I) k( e) I, X6 r" I"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
# m5 g0 i$ d% H9 e1 ?9 i设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ! [0 h' V; j% @' ]7 G8 L) e
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
" T& p! |& H! \微软站点安全推荐为2。
* [1 N( `8 e! H( x; A$ u# k! ^: c& j, c( U"TcpMaxConnectResponseRetransmissions"=dword:00000001 ; P8 l! J1 R1 h9 W+ V, l4 d
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
& }) p9 F8 n: P"TcpMaxDataRetransmissions"=dword:000000039 P+ P+ H& I& n% K& m/ v- w
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
7 j' F! c- Y/ e* c- F. f"TCPMaxPortsExhausted"=dword:00000005
( i5 g$ \$ t# h1 ]& W9 Q u- a2 C8 j禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
7 R- ]2 j: m! M& m"DisableIPSourceRouting"=dword:0000002( g" Y4 |+ `! z; ?. M2 L
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 J+ A/ ?7 H/ s"TcpTimedWaitDelay"=dword:0000001e
" ?* D7 @5 d' }8 Q/ Z, ~2 m! N7 T- b7 y, G J) S
8、如何避免*mdb文件被下载
- K* J; {# A* c, |6 e/ b, ~安装ms发布的urlscan工具,可以从根本上解决这个问题。
1 {/ M. Q& u6 D6 F% X同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
! ]. a3 n/ j: }/ J2 t9、如何让iis的最小ntfs权限运行 3 j; i8 p0 q8 e
依次做下面的工作:
3 x3 |1 Q) ?8 k# c, b! w' s2 R: ?a、选取整个硬盘: / i4 U% x8 b' @) G
system:完全控制
4 a/ O" } r0 J, W* Padministrator:完全控制
0 i% ~8 S. C$ _8 P3 M4 y0 a5 E(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
7 j t2 f# H7 A2 Y6 O+ @everyone:读取及运行列出文件目录读取
7 _* ^0 `" ]: A5 J7 y8 w(允许将来自父系的可继承性权限传播给对象)
7 E/ b$ U) V) s! g. E$ N G6 Mc、/inetpub/wwwroot:
1 O4 C/ n1 ?* Xiusr_machine:读取及运行列出文件目录读取/ _7 f7 G1 M; W% G6 h6 n
(允许将来自父系的可继承性权限传播给对象)
3 K/ d8 L) o7 z4 W2 x' Qe、/winnt/system32:: l1 C2 H- O# B3 Y1 m7 c
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
5 }$ k) L' C9 x6 L' H4 Xf、/winnt: 6 s( q3 x, J& f9 P
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。! i' @! d* f$ c. B# w
g、/winnt:* b: I6 y0 L' K1 u: w
y0 s9 A8 H) Z- Y/ P; }everyone:读取及运行列出文件目录读取3 ?% J; R2 ?( ^) v/ m
(允许将来自父系的可继承性权限传播给对象) , A& D: A; p4 D( @+ D. Y
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
6 W* d5 w. W* I6 H8 V( X& oeveryone:修改
% e m! S4 l* F0 |(允许将来自父系的可继承性权限传播给对象)2 @+ b% c$ W0 l- X
10、如何隐藏iis版本 - d* e4 X! P6 _8 {; Q' W0 R, ], x+ m! i: o
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
* u; b; y) C3 K) M. @ Z3 v* ?iis存放IIS BANNER的所对应的dll文件如下:$ g$ a1 T$ T! Z ]1 h
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
! j7 V$ \! T& j1 Q$ h# q. zFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL8 M- ~( k- b* a: v0 i- W% W7 _
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
) m/ w. C! `+ X3 t. ?: x. o/ Q你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 $ ~1 t. B: L; o6 p! I! A. P8 Q
具体过程如下:
y$ w5 y9 o7 a& e; n1、停掉iis iisreset /stop
. G' Y2 E/ G) m$ k2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
' P* I( j, o' }3、修改 |
|
发表于 2008-1-25 02:15
| 