|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行/ ^8 k4 z3 _& M
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
7 k3 H* b2 g2 e9 N9 K7 R2、如何防止asp木马 3 E2 e+ O: y$ O0 b6 Y1 F9 W
基于FileSystemObject组件的asp木马 , B4 o! w3 S1 `6 q! ^" {
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
7 j. F% V7 `4 m8 J4 i4 I0 C3 D( y, r# mregsvr32 scrrun.dll /u /s //删除) f: ^! Y' a6 f
基于shell.application组件的asp木马0 C8 h$ i1 Q8 T C. X( F* e$ t
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
1 p) X9 d. B1 ?- q8 D P+ |regsvr32 shell32.dll /u /s //删除
, m+ Q' h# g& J# U9 G4 `# c& ~3、如何加密asp文件
1 l# N6 p2 ^+ k8 ^从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 $ y$ U/ O, n. y& ~# d& B8 U9 d
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
( c" L# Z* w, K- u& f6 p运行screnc - l vbscript source.asp destination.asp
4 u- w& I2 l% }: V生成包含密文ASP脚本的新文件destination.asp6 d/ `6 c8 _' W. H, p& B: p
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
2 f; [/ C$ T# B' b! L但无法加密中文。
: `" {, ]) v5 m, e% Q) Z* l4、如何从IISLockdown中提取urlscan
% w F2 }* ^# T1 m$ d" F' yiislockd.exe /q /c /t:c:/urlscan
/ K5 Q$ ^' p, E% p4 Q. D5、如何防止Content-Location标头暴露了web服务器的内部IP地址
/ f. w0 p0 d& e) N: ` r& r! M执行 ; Y; A, b E [0 h' [7 t
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
! I: Y- h5 Y. [1 w* w+ _3 m8 {最后需要重新启动iis
: ]" {' }; F) }7 u1 K# W6、如何解决HTTP500内部错误$ H; r" U* S5 f, J+ x3 Q
iis http500内部错误大部分原因
5 m. g, V+ V$ y6 ^3 d/ w主要是由于iwam账号的密码不同步造成的。
% X# I8 z4 v9 l( l4 c我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
# i1 z( B2 z! M4 w- A执行 * Y2 l( C; ?0 J& G0 r! z
cscript c:/inetpub/adminscripts/synciwam.vbs -v
( ~ t' m1 H+ M; R/ {( J5 T; j7、如何增强iis防御SYN Flood的能力
6 e8 F* ~" I/ Y% i! aWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 6 [ u k' Q. c8 }% R* g1 r
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。" r! ?/ t! S; O& g: x
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 G u+ ^, k6 B"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
5 W/ ~( l: r2 O2 J) \0 F* ~" O, f设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( ~/ F; U/ C7 [ e! c5 b! G项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。- L" C. n1 C+ w* Z4 t9 d
微软站点安全推荐为2。
% i) U% ]! I% y& u! b. l( d; u"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 @- D+ W" h; r n7 |; Z设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
2 [+ |- ?: p$ c1 g8 h"TcpMaxDataRetransmissions"=dword:00000003
% {1 I( C; j1 {( e设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。5 V! k \, b! a( _4 o/ b9 c4 t5 k2 j
"TCPMaxPortsExhausted"=dword:00000005
: i/ }3 e' U2 X5 P* l+ o$ v, ?禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
2 w3 F3 w, z* ?"DisableIPSourceRouting"=dword:00000026 @: U6 w @% p& X* K9 } A
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 k1 t- K8 O' e$ ^$ c2 g
"TcpTimedWaitDelay"=dword:0000001e6 o( I# H% O& N. S
# S0 ^! n, U9 n P; [2 G8、如何避免*mdb文件被下载
}4 ^( f( Q% j8 l安装ms发布的urlscan工具,可以从根本上解决这个问题。
n0 f; p+ ?# D3 B( m1 T" Q: p4 K同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 1 ~0 J& _2 e" F+ f5 R4 W! n
9、如何让iis的最小ntfs权限运行
3 {7 L$ d% x3 u4 b7 {7 ?& `! H依次做下面的工作: ) x' `1 h6 P- q+ q9 l
a、选取整个硬盘:
- T* {6 _( X) Q- a+ K% msystem:完全控制# e/ r2 A6 v) `' j) L$ w6 @7 N: X- C \
administrator:完全控制 w8 ^+ x* j% ?+ y- G* R
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
6 s1 N) b6 M- ceveryone:读取及运行列出文件目录读取 4 c# P& ^# P8 n/ `
(允许将来自父系的可继承性权限传播给对象)
6 W* m- V( |' G, i" [, U! G6 ac、/inetpub/wwwroot: 8 d' t# e0 w; @% _0 d( v1 i7 t
iusr_machine:读取及运行列出文件目录读取( ]: I" k7 X# @0 Z# q' Y% e+ ]' h
(允许将来自父系的可继承性权限传播给对象)+ U. T. F i" L0 T% [
e、/winnt/system32:, L! }( N2 {6 T: y
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% w+ c$ R) G! b0 x& ]% B5 lf、/winnt: 7 J9 a2 P' ^& `9 K( G$ l) y) E% P4 D! l
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ S$ H6 Y, h4 T! X% Dg、/winnt:
3 S. y/ C. J' F( n8 q2 w1 x 6 t7 z0 U: G% d3 n( d1 E% c+ n, k+ E
everyone:读取及运行列出文件目录读取0 L' {0 _1 J: O; l+ ]$ @
(允许将来自父系的可继承性权限传播给对象) & m% b! b" I! ]8 F6 y2 [7 s7 I
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
' Q$ o9 P, p9 ?everyone:修改 ) K8 Q$ b {. L; a
(允许将来自父系的可继承性权限传播给对象)
7 f" r' D2 I0 ?7 a# Q0 K7 A10、如何隐藏iis版本
8 t6 C" J5 o! h& c+ N% G* ]一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 \+ K' }" I3 q6 ^" Q) Liis存放IIS BANNER的所对应的dll文件如下: d# z/ f6 O3 t6 i9 Z1 m s
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
; e) H' x1 y3 [$ @6 `5 G/ L* iFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
" U1 r& X1 Q7 o; } [8 GSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL : K) l7 ]( `+ ]+ H
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
W6 d- n2 A* G' ~) Y: Z具体过程如下:3 x' I; w% ]" E; h* r. E. ~
1、停掉iis iisreset /stop
( K9 H3 m( B; H1 [2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
% |1 e! n* s d" X; U6 K/ a7 w4 A3、修改 |
|
发表于 2008-1-25 02:15
| 