|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行' E$ S8 M5 T6 M
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
# ?. q1 {: E5 H9 A8 E, f2 l: s2、如何防止asp木马 1 |' q& y8 f* [! Z0 F' q* H3 p
基于FileSystemObject组件的asp木马 ! N7 Z, b5 T3 x' v- M- ?' J
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
& C+ \6 n3 X& f. w& }1 kregsvr32 scrrun.dll /u /s //删除
9 p$ g* i0 z. R- R基于shell.application组件的asp木马( O& J4 ]6 q/ N3 E2 u0 g. O h. D2 g. C
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
' N# n* n* q. _/ f6 xregsvr32 shell32.dll /u /s //删除 - [- ?2 H, O, ]- N
3、如何加密asp文件 8 M$ a3 C" z0 m' A- j4 }6 i# R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
9 g/ ] A4 x) }: y4 R安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
9 n) q7 ?4 s* M8 o1 F" \运行screnc - l vbscript source.asp destination.asp* \& ?* U/ D& c( j* S
生成包含密文ASP脚本的新文件destination.asp
. c3 i: L/ G5 g' A0 x! v5 S用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
5 X+ C- P7 a' O! e0 X# Z但无法加密中文。$ _1 }! P" }4 z: H$ }. ~
4、如何从IISLockdown中提取urlscan 0 c6 ~# Z3 |$ z. D+ G+ `
iislockd.exe /q /c /t:c:/urlscan7 i+ l+ U& v/ O/ J
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
& w% |6 g' j x% o! G! ?" L( I6 }执行
/ M: `# q; }) T. |6 Bcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
8 n3 o8 \& {& P! Q2 R9 v最后需要重新启动iis - r: b$ c& Y" h- X# c7 x
6、如何解决HTTP500内部错误
* L2 }% o; j: ?iis http500内部错误大部分原因
' s2 H t+ {" z, c0 z$ \: J主要是由于iwam账号的密码不同步造成的。, F- k0 V! ~$ F* M) ]% y7 n
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
0 t& J5 w" w+ `" X( Z执行
/ J8 n, I* q( Hcscript c:/inetpub/adminscripts/synciwam.vbs -v
1 e0 G" J$ Q7 P7 Z; U/ \7、如何增强iis防御SYN Flood的能力
: b& k% r7 l$ `7 }0 c2 AWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ) w! G$ y' r" n4 f' n2 X2 {" u
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
; A# }' W t7 n$ E2 g& y"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。8 ]3 l" T/ A% i# J! M
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000501 ~9 w( `( t; w2 c+ r
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( p. ]0 X. ^) x1 ^项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。, l/ f5 ]& i2 w* P. P( Q+ V E
微软站点安全推荐为2。) ^! q8 ]: q. ?$ r: ?5 D
"TcpMaxConnectResponseRetransmissions"=dword:00000001
M8 Q7 w& s% M设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 7 f5 [+ f& x2 B1 q$ L' @
"TcpMaxDataRetransmissions"=dword:00000003
9 o5 E$ E4 C$ N8 v" a8 K' V) v设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 B1 R \6 ]' Q; b$ o$ D"TCPMaxPortsExhausted"=dword:00000005
2 Y3 h: ]) _' F禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 9 j1 {" C" X" V1 u- Q- Q
"DisableIPSourceRouting"=dword:00000021 d5 O7 q3 W' Q, }( X1 M
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。3 x- O6 r2 K& S2 w' d0 m* e
"TcpTimedWaitDelay"=dword:0000001e: o+ B5 W8 n! @0 b
; a/ X2 _7 s, a, g+ r! ?0 R8、如何避免*mdb文件被下载
, \' v9 ^% h3 R* ^ C- d" K安装ms发布的urlscan工具,可以从根本上解决这个问题。
; k; Z1 [5 ~- [0 T同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
9 v- i8 m9 `" O& b8 f3 Y6 o* S! q" O9、如何让iis的最小ntfs权限运行 % z0 m& Q2 j! m( e `; H: r
依次做下面的工作: ) u. E6 K# O* o; m; I% t1 E
a、选取整个硬盘: % J k% I3 q$ t* n. Q
system:完全控制
6 _' ^4 w; j% [( @administrator:完全控制9 H1 @2 _+ T$ `% r, B8 C
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 5 k$ h) x2 {! D$ m- a3 O
everyone:读取及运行列出文件目录读取
" U9 u8 v% `. D+ X& c x# C" H(允许将来自父系的可继承性权限传播给对象) - H' X+ s" F% u7 `! ?
c、/inetpub/wwwroot: $ z$ L5 S" C7 q+ E9 G6 R) f
iusr_machine:读取及运行列出文件目录读取
# ^7 v0 L) \: O# `( n(允许将来自父系的可继承性权限传播给对象)
- }+ M% J2 A# v9 v0 c, [2 Te、/winnt/system32:
+ I3 U) y* d( s选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 9 P4 r% b, T. Z/ ~
f、/winnt: - P" A% t1 ^" \) s
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! e4 E$ k: J7 q7 ^g、/winnt:
/ U2 @- ^, u( e 7 X9 F) U" k! Z5 `8 O2 Z' x, c
everyone:读取及运行列出文件目录读取
, G" d% H8 t3 L, X- M% F, y(允许将来自父系的可继承性权限传播给对象)
# }0 j; X: N- f$ U z+ r$ fh、/winnt/temp:(允许访问数据库并显示在asp页面上)
& l- b: \, |! }! o; }1 zeveryone:修改
% h4 C( D M! n( I5 S* S(允许将来自父系的可继承性权限传播给对象)
: E0 T! X/ y; ~& H, o; M0 p+ k10、如何隐藏iis版本 - k! ~) G3 ]% ~) o: C& y
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 0 }; G1 P; B% `# b. G! f
iis存放IIS BANNER的所对应的dll文件如下:
0 ^$ v( X6 y9 C6 i+ }WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
% R+ c/ a& [" c9 Z& nFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% r9 V1 A. u- s" g- JSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 2 \, T) ^2 y8 J/ q, h2 D! i
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ; o. v5 A- U& d" M/ I
具体过程如下:
% k( I4 P: c- D1、停掉iis iisreset /stop 3 d% U( S3 y5 ?* U# f
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
3 f5 ~3 ]% C- F3、修改 |
|
发表于 2008-1-25 02:15
| 