老秘网_材夜思范文

标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ [打印本页]
作者: 中国老秘    时间: 2010-5-10 17:00
标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

一位高手整理的IIS FAQ

2 g. R& W3 ]. W1 H( z6 D2 q

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

& G/ g; }( Z; m" S

1.如何让asp脚本以system权限运行

' S5 e+ q) u6 A; ?- Q

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

# ]6 w! E% S, s, O9 K y* f

2.如何防止asp木马

/ o- U4 a2 y' k& p

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

/ a! }( q6 Z/ g; _

  regsvr32 scrrun.dll /u /s //删除

7 u, K* t% {% M0 G+ q5 w+ D' f

  基于shell.application组件的asp木马

1 S. N3 }- h! x4 z" \7 E9 `

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

* k, @& H A; H

  regsvr32 shell32.dll /u /s //删除

" c7 b% e" a4 q# I

3.如何加密asp文件

/ K+ v6 D( K5 ]4 J

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

' I5 W/ E6 t `3 q) Y9 r$ S

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

& h) l: _+ J% y5 t

  运行screnc - l vbscript source.asp destination.asp

' a9 D' I" d" h

  生成包含密文ASP脚本的新文件destination.asp

- P" B( ?1 O# |, C0 Y

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

% k( @4 e9 t3 s1 V( p

  但无法加密中文。

, \2 g% u' ~* O u. r- u/ h

4.如何从IISLockdown中提取urlscan

7 d9 D4 s3 \$ }6 f# w, a5 n* g

  iislockd.exe /q /c /t:c:\urlscan

$ i9 A- y' [7 W& N6 r/ ^

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

9 U, N/ S& d+ g8 L$ m: E

  执行

; G/ Y2 [4 u0 z6 l: a0 R

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

8 Z9 C3 w( z. z1 G" K

  最后需要重新启动iis

$ W6 ? _5 `4 J3 x7 |( W% d# q3 y# w

6.如何解决HTTP500内部错误

3 V6 c+ A: j( D/ H; P

  iis http500内部错误大部分原因

+ l' J' A. D: [ S

  主要是由于iwam账号的密码不同步造成的。

# M3 }6 M, ^) T

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

" `4 w: s; q9 r3 Y7 W) c

  执行

4 Z% o6 P& S& d- `. S! S

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

# t7 a7 q n/ y5 M

7.如何增强iis防御SYN Flood的能力

3 Y2 r/ W& |! H/ U

  Windows Registry Editor Version 5.00

1 E4 Q- |) g6 P. ~7 X/ V6 O

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

4 [& d* ^' Z1 E8 ^% e

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

( F3 d8 V/ u$ f

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

9 J. J& n5 [7 N* Z; l5 q8 Q

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

0 n; E2 S: q/ t% b! [0 D$ w1 T1 R# F

  "TcpMaxHalfOpen"=dword:00000064

% @6 W: V, {& N! I' h

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

+ M$ A( p* r9 n. x

  "TcpMaxHalfOpenRetried"=dword:00000050

+ }7 Y$ |5 {4 ?, k/ U: l

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

# }* z6 l! l) X

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

& s4 y8 X; Z4 m# ]3 A7 W8 E

  微软站点安全推荐为2。

+ W+ x( W6 L8 ^. N1 `( p' ?. Q

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

# n; g$ G$ Z) T* c% R+ ]% C0 O

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

/ W2 O/ z% m* ~, D% \

  "TcpMaxDataRetransmissions"=dword:00000003

o3 y- j, N8 q; Y8 }& a0 I, r; |

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

+ _% v. C6 r3 [

  "TCPMaxPortsExhausted"=dword:00000005

4 A( k; R2 q0 i, M* ^5 n

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

( \! h9 f/ ~$ {" p2 \$ N0 o3 _) [

  "DisableIPSourceRouting"=dword:0000002

) ] n' n! W: h/ E7 ^% s6 o6 w

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

: ~- F4 c1 G$ n+ P

  "TcpTimedWaitDelay"=dword:0000001e

8 B; r% z: V+ v$ x0 w1 G

8.如何避免*mdb文件被下载

0 a5 Q, o- \- s- z5 G- u6 z

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

" y/ w: |8 R) k

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

( }3 r3 T$ a9 ^3 T S# l* L1 |

9.如何让iis的最小ntfs权限运行

9 N. W b* l8 z6 c6 T _4 F6 P

  依次做下面的工作:

8 m: G3 M2 X+ k' ]2 a6 |

  a.选取整个硬盘:

3 {# [2 f: A" K/ t, A' T

  system:完全控制

7 y' ?3 Q1 C4 R3 a3 `" s" m

  administrator:完全控制

2 @0 A2 G$ C% @4 F. X# ?1 l- w+ W

  (允许将来自父系的可继承性权限传播给对象)

$ J; n/ E4 s. l$ K* Y$ w

  b.\program files\common files:

, L: d0 K1 O- z. Z9 n0 E

  everyone:读取及运行

, p: N7 g" f' e/ y3 C! Z- y

  列出文件目录

6 R8 E( V7 C, K. {

  读取

4 Y/ J4 L/ j, T% T! s

  (允许将来自父系的可继承性权限传播给对象)

. F/ y; Y3 T3 T) E; ~% T

  c.\inetpub\wwwroot:

/ m8 V+ d4 b7 Z' l+ m* X- U, X8 }

  iusr_machine:读取及运行

, F0 I% d9 T/ Y' g; ? ~

  列出文件目录

; S, ]; S0 [ U

  读取

o+ P( E6 t# i# M

  (允许将来自父系的可继承性权限传播给对象)

& {$ m! t! \& ~ D3 e

  e.\winnt\system32:

4 J8 {- _' `* U) f3 b; A

  选择除inetsrv和centsrv以外的所有目录,

( B9 r+ P3 V, y$ J, p

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

# Q! s- B6 I. R3 f

  f.\winnt:

" o9 P! [7 J% }, \

  选择除了downloaded program files、help、iis temporary compressed files、

- L, x! }7 S8 j8 E( X8 {( o5 t

  offline web pages、system32、tasks、temp、web以外的所有目录

( F, n, q& X3 p

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

0 t2 y, A2 o3 u' C0 i

  g.\winnt:

" {' l; E: Z0 ?/ b& ^. z

  everyone:读取及运行

' u: Y% l% ], Q! G. ~

  列出文件目录

6 }- r$ i/ f- L$ ]" a% g

  读取

2 h* I1 F/ }1 Y* Z3 k

  (允许将来自父系的可继承性权限传播给对象)

8 b2 t9 M/ k) w4 h6 @$ g

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

( v4 A( S1 [$ I8 Y8 D% N; N' ~ D

  everyone:修改

, T6 F) K8 M6 v7 e( T- R

  (允许将来自父系的可继承性权限传播给对象)

* |- z9 a h8 C" m0 X% @. ]) e4 r) t

10.如何隐藏iis版本

4 `) C2 P* J" |) Q7 }, U% o* G: H

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

7 h5 d, S' m& h! w

  iis存放IIS BANNER的所对应的dll文件如下:

$ C) p/ _# |3 r- o. p8 [! @

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

# V. [5 Q1 x+ k

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

( i( y' M* n3 u- H$ a

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

1 G' N9 e! n6 P5 L+ Y

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

- G6 t6 w; q$ D

  具体过程如下:

- ^- d/ a2 B* [% f9 N' w3 E

  1.停掉iis iisreset /stop

6 h& t5 D1 l5 S

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

7 g* P% c# K4 Q$ M

  3.修改





欢迎光临 老秘网_材夜思范文 (https://laomiw.com/) Powered by Discuz! X3.4