|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14197
- 金币
- 2389
- 威望
- 1647
- 贡献
- 1337
|
1、如何让asp脚本以system权限运行7 P; k! E. u3 Y( R. Y: m
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... , J0 K$ \; j: p6 ]2 @% J: P
2、如何防止asp木马
! \* y+ U. B2 D5 A基于FileSystemObject组件的asp木马 & r! ]( R7 _2 `; }+ x' A
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
9 X& t1 n6 v4 h/ ?regsvr32 scrrun.dll /u /s //删除
8 {' e, P% M* Q2 }基于shell.application组件的asp木马: n; g: a. v- R; r) W
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 4 T+ c2 m& X) Z* b. T3 F
regsvr32 shell32.dll /u /s //删除 8 }0 n% {6 z; R- S4 C$ }
3、如何加密asp文件 1 W% Z) H$ \1 K2 G, Y' t# `) a# @
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 # q' K5 Y/ a/ P0 {3 U6 X T
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
4 G# D. Z/ {0 P! ], f运行screnc - l vbscript source.asp destination.asp
. J2 C* `, y( k7 b5 B9 U生成包含密文ASP脚本的新文件destination.asp
- C; ~+ ]; L4 ?& a( L8 L* Q" i. c+ v用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
$ i2 h. a U7 ^7 Y/ l但无法加密中文。
! b& E6 h2 c* k: n% v6 K: R6 v$ m4、如何从IISLockdown中提取urlscan
- ?% o7 S; @* Giislockd.exe /q /c /t:c:/urlscan: f* T$ Y% b& m
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 % [. Q! p1 l# L+ Y# o
执行
' r& n# ^4 Q/ h4 q) x& b# o% |cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
# u' K1 c! R& A# q/ ^; b最后需要重新启动iis
# _ e# j, w5 X# i+ M# W6、如何解决HTTP500内部错误; ~* q$ u# |! e/ W* m7 k
iis http500内部错误大部分原因
0 Q6 D+ K1 @% n% d主要是由于iwam账号的密码不同步造成的。3 s5 K. e& s& h( q; U q
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" O/ M: |, z }- a/ n执行
% u8 O, v& U: Y% ucscript c:/inetpub/adminscripts/synciwam.vbs -v
9 g* i+ l3 D& n% T$ L7、如何增强iis防御SYN Flood的能力+ E8 @7 V' A$ ]
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 6 C9 G3 N/ c% U- n) V
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。0 }7 k" e5 l& L p
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
5 _ G( D; R, d. G+ d"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
8 {, J* k# E. ?! M, I& k+ I设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 5 V% u8 I9 Z8 M9 q$ X1 n
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! S% r4 \$ p( |3 ]( B3 M8 {微软站点安全推荐为2。$ g4 N5 E0 k# l u
"TcpMaxConnectResponseRetransmissions"=dword:00000001
' \* P+ }. E1 s设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 : @! r& M4 z% x" C$ V2 @$ j
"TcpMaxDataRetransmissions"=dword:000000035 D' w1 ]" l2 v$ s$ \. g. `% ~
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
2 i, T9 N J9 v"TCPMaxPortsExhausted"=dword:00000005
4 `8 X8 b3 m8 M8 `禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 - t/ u. M; w- F6 G* k+ E! S
"DisableIPSourceRouting"=dword:0000002
7 F) C. g7 T) Y限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。4 N! ~( `0 p$ O' _
"TcpTimedWaitDelay"=dword:0000001e
% t' ?0 }. Q6 V% V9 a7 ^/ u; f5 d" ^; p# Z# R8 w
8、如何避免*mdb文件被下载
1 e9 W4 K# f* Q4 J) }6 d安装ms发布的urlscan工具,可以从根本上解决这个问题。/ _( B/ k. U6 Q" |: c# {$ a* k
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 4 T' E! k. m) g/ q6 S
9、如何让iis的最小ntfs权限运行
' l+ i e3 A7 U, m! A; J6 M依次做下面的工作: * |' M7 O6 l5 W
a、选取整个硬盘:
# h/ N# O: q! }system:完全控制( U ]1 Z, w: K9 `0 @( q9 R9 R
administrator:完全控制& |! N4 ]7 M7 P- A
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: , ?! }! F& \2 _9 }$ q5 s d
everyone:读取及运行列出文件目录读取 % \& o9 }" D- U
(允许将来自父系的可继承性权限传播给对象)
4 T0 k# W. @0 h' s7 Y. fc、/inetpub/wwwroot:
! {3 I+ m- Q- @' ~+ ] }iusr_machine:读取及运行列出文件目录读取
/ Q4 J1 ^6 F3 A' |- S( X7 o(允许将来自父系的可继承性权限传播给对象)
* P. ~2 D4 }4 [5 v5 }' T, ^4 k9 Ge、/winnt/system32:
# q# U+ D$ J2 y( v4 x选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" y$ t8 P; s& v+ A" V% d) Sf、/winnt:
9 z/ F: b- D" r9 X0 q* k6 S# T$ |选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。! O, x0 T+ G. C+ t
g、/winnt:7 x6 h9 k+ t& Z+ l
9 [) o8 k' h1 d1 v6 A4 ~- H3 D0 B2 a
everyone:读取及运行列出文件目录读取- y; T: [: o6 `4 Y/ x
(允许将来自父系的可继承性权限传播给对象) ( p0 f( O) N- ?* H/ C. S8 O
h、/winnt/temp:(允许访问数据库并显示在asp页面上) 8 y S4 c$ t$ F" }* _
everyone:修改 9 Q. R: A4 q$ U1 c1 S9 x
(允许将来自父系的可继承性权限传播给对象)- A' g( [" G% F& G
10、如何隐藏iis版本
1 w# W M/ [1 b7 S1 ?一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
0 R. W& {* I* V& Y Piis存放IIS BANNER的所对应的dll文件如下:
+ {5 I6 `5 G$ h. @! V7 rWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL / A% ^/ b, s& k, C/ v) e
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
& }9 `6 p- h# ?( u6 wSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
9 |% O r* @4 y3 k% O7 m9 f: w! R你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
8 m( \$ c$ }& i2 @3 }具体过程如下:
! R3 f2 t' {' t: N3 t7 c5 `$ z1、停掉iis iisreset /stop
2 j! g& f2 X% U% R2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件2 R0 Y# j2 Z4 K1 Q+ P! h
3、修改 |
|
发表于 2008-1-25 02:15
| 