|
一位高手整理的IIS FAQ
' ?$ z: Z" W: M' {" Q* w6 l3 @下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ; H# W* [$ X. ^+ c
1.如何让asp脚本以system权限运行 9 b: v' y0 b* t$ B: Y% V
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... , t6 X, n& r* h' H1 B; z
2.如何防止asp木马
+ U# T% h+ E, E6 n 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 ! s% X3 C' \5 v( K1 P0 j% V6 Z
regsvr32 scrrun.dll /u /s //删除
0 B+ E" F$ F, l( l8 k 基于shell.application组件的asp木马 . \2 g. m, F7 l
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 ( q1 j: Y( x! `. i7 p# P, c
regsvr32 shell32.dll /u /s //删除 % @! y: a0 A! q2 z @
3.如何加密asp文件 2 D( y7 r! X$ H2 W! c4 Y( @) d
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 4 d3 B$ ~4 E0 f% o7 c3 }6 r
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
1 U" \3 I1 s# _1 y' P, E W1 V 运行screnc - l vbscript source.asp destination.asp
g2 t1 F! r" f 生成包含密文ASP脚本的新文件destination.asp ( \3 _4 |3 m( _2 d8 `% r P3 G
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 y0 J/ }9 o _- g0 |
但无法加密中文。
3 e2 A) X) ~; y2 u# s4.如何从IISLockdown中提取urlscan
9 p2 @2 p* A: v1 d/ S6 c. T! b% o: h' ?- B iislockd.exe /q /c /t:c:\urlscan ( ^# D6 _5 D0 b$ C
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 7 S- J$ n" @+ n
执行 0 c- A( q' V5 |, x
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 6 v5 i! u% n$ z9 b+ u" g2 l
最后需要重新启动iis ' w) q I* c* |9 V# g$ R# y# u
6.如何解决HTTP500内部错误
* j9 P. M! f0 l iis http500内部错误大部分原因
/ w. \' I" J6 h5 i2 k, v 主要是由于iwam账号的密码不同步造成的。 6 S3 S; L' T7 Q$ b
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 : L1 K% x5 f' k2 W: {
执行
) M5 N' d$ e2 }! i cscript c:\inetpub\adminscripts\synciwam.vbs -v & l0 g) h! {0 j( p
7.如何增强iis防御SYN Flood的能力 * K6 L2 M2 z6 |
Windows Registry Editor Version 5.00
& ?# l, U- z% c3 _$ x& I' } [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
C1 O/ P9 n$ w+ S; H( }- i/ c; W 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
6 O D* |" K6 _0 g 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
- q6 T. X; z( ^ s "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 " _3 J# B4 e; e& n3 X6 U' D7 ]0 b
"TcpMaxHalfOpen"=dword:00000064 . k, h" A8 }- c1 w3 a
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
o# x7 S- \# _, m9 M "TcpMaxHalfOpenRetried"=dword:00000050
7 A: W) b; G% _# d 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 & e3 M: w' L% f& n/ r$ I0 i5 H
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 : p: S8 X$ V8 [% v# e6 q
微软站点安全推荐为2。 - t6 i2 F) q" e4 i$ A) P
"TcpMaxConnectResponseRetransmissions"=dword:00000001
/ G+ Y( e( k: X# P3 Y 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 * k \" Y& K6 Q2 M! ^. Z, `
"TcpMaxDataRetransmissions"=dword:00000003
$ e4 z# I; Y/ `+ y- w C' p% m& t 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 6 I* l& ~( w- E
"TCPMaxPortsExhausted"=dword:00000005
7 L4 X4 ^# q* k( _( } 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 5 I$ j0 ]& I7 v- N, I l) n8 u- [: d
"DisableIPSourceRouting"=dword:0000002
1 O2 `& e" b7 \& m) ]8 p6 X! ^5 d 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 # S# R- q0 v; u! \7 t+ F
"TcpTimedWaitDelay"=dword:0000001e % A3 ?; C/ H) [
8.如何避免*mdb文件被下载
& X% Z9 ~! i7 { 安装ms发布的urlscan工具,可以从根本上解决这个问题。 ' K# g- A. `; z! Y2 H7 d
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 + ~. C+ ~& J7 r
9.如何让iis的最小ntfs权限运行
+ ]5 y. h q: w) R! t, ^, v 依次做下面的工作: ' `: x4 m: C7 L# z! K
a.选取整个硬盘: $ h% d& X; W& C% g
system:完全控制 6 B" f' r. \# U" M+ _0 g' l) L
administrator:完全控制
0 G1 r2 ]) \! `8 a Y7 I (允许将来自父系的可继承性权限传播给对象)
& w: D6 f8 D- X! T b.\program files\common files:
. U* k6 l9 G8 Z8 w5 [7 | everyone:读取及运行
% K( O- m d. t9 C& W 列出文件目录
" f! B( I9 l5 C+ f% \ 读取 $ W1 b: E0 g& G: |. ~
(允许将来自父系的可继承性权限传播给对象)
% J* P' l3 A" M8 K- t6 K4 i3 ^ c.\inetpub\wwwroot:
( W2 `- A9 R) @* v7 L9 Z2 Z iusr_machine:读取及运行
1 p+ j" B5 a% z8 H1 L. C6 V+ z% j* E 列出文件目录 3 p5 P# K7 k" C( l0 {8 a4 B1 p8 q
读取 % i% U; H" v2 o! ?; @* a
(允许将来自父系的可继承性权限传播给对象) * s9 f7 [5 k! \8 }
e.\winnt\system32: 1 k( O( d9 s0 A
选择除inetsrv和centsrv以外的所有目录,
, q, H1 {" D' Z: E3 N& s' p# Q 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 , ?& B" I1 c( L/ g& A
f.\winnt:
% ^ H% R! h0 U3 W3 w% D 选择除了downloaded program files、help、iis temporary compressed files、
* K% ~3 P& j. c; C2 l offline web pages、system32、tasks、temp、web以外的所有目录 . J) b" A5 S' G
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 1 e# p+ x& x8 r- { t# q- L D
g.\winnt:
1 Q5 A, Q3 T* a3 z& g/ Z2 h everyone:读取及运行 1 [2 T( g& C- C9 B! L+ ~7 l
列出文件目录 / N! b$ ]: M: F/ x' B
读取
4 m( ^5 j* k7 ]/ k2 L (允许将来自父系的可继承性权限传播给对象)
1 y* G) N$ U# r# z h.\winnt\temp:(允许访问数据库并显示在asp页面上) " s. V$ F! P# N# J j* ^
everyone:修改 - A! T5 A6 N$ N
(允许将来自父系的可继承性权限传播给对象)
6 k7 m! x, q$ h, B- H10.如何隐藏iis版本
' \5 t5 \/ F1 i1 U! ^# ^4 B 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
1 s+ H! A: T& W; \7 u, @( c iis存放IIS BANNER的所对应的dll文件如下: ' E% n4 |& r( r
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL , N+ o4 c' T3 Y; t
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
& n* {* {: C" I I* A' I SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
. T. b1 t1 m- i& e 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
( ]( ]0 |8 F! q5 m+ L: f3 W 具体过程如下:
& ~7 w' u0 Y$ ^! m 1.停掉iis iisreset /stop
( X) X9 g% H0 i* N7 \0 } 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 % ]) d: Q) M4 r' F
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
