|
一位高手整理的IIS FAQ % z8 ?1 n4 P- k; n4 u
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
5 w$ ~2 _4 x* H9 p) Q" [2 S1.如何让asp脚本以system权限运行 3 H t( Y" s& [' E1 o+ u
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ( J' o8 T' S9 j. g
2.如何防止asp木马 ; F1 T. g$ m. H; h
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
& l6 j9 A: r" e7 i" i+ a regsvr32 scrrun.dll /u /s //删除 2 ?- o8 ]9 g: V8 |8 B7 x% Q
基于shell.application组件的asp木马
" } m# b+ I. c' I# x4 l cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
. C/ |0 ^& m6 X0 N9 `8 d) ~ regsvr32 shell32.dll /u /s //删除
5 O8 ?! m( E, V) m. N/ X! o3.如何加密asp文件 * X/ s# N! F/ A2 i B
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 4 X2 k0 l! A9 B+ x* r) [; d# ]
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, c5 h, J/ i$ C w 运行screnc - l vbscript source.asp destination.asp
' W4 B+ C, t, t 生成包含密文ASP脚本的新文件destination.asp
8 v8 H, I3 T6 h' K 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 7 ]& ~' ]. W- C" m! z+ n
但无法加密中文。 $ I9 ^) o; I8 R
4.如何从IISLockdown中提取urlscan
! ?# i6 k! m/ o4 q iislockd.exe /q /c /t:c:\urlscan 9 k5 `& y, z. R; T1 H. Z
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 - Y8 @* J* L+ D4 N* E) r! t
执行 ( _/ P( ^. P& k3 }
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
. W. w/ S) Y7 Z( c5 a" s$ i 最后需要重新启动iis
0 {3 T; V6 }( u5 p6.如何解决HTTP500内部错误 $ T# w( C/ h" n0 c* d
iis http500内部错误大部分原因 + W8 h2 k: g" @( l% v9 T9 ]+ _( Y' Z4 W
主要是由于iwam账号的密码不同步造成的。 ! B+ ^& _ u( F, w
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 f7 r; ~. x6 b, } 执行 . n# T, C( s) S+ |" ^; _8 x
cscript c:\inetpub\adminscripts\synciwam.vbs -v
) Y. l u3 M8 n: y$ D7.如何增强iis防御SYN Flood的能力
9 F0 M9 |/ f6 |1 r Windows Registry Editor Version 5.00
4 Z# c6 `& o/ t5 p( y [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 1 y8 w. t, i4 y( \( D
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 + ?' p. q1 ]9 i, g* G! d, T
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
$ U# r$ {% l) F; } "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
9 c% l1 t1 \% A. g6 G. i "TcpMaxHalfOpen"=dword:00000064
% ^6 Y7 O0 p0 e( r$ R& W 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
* y7 O" ~0 T4 s" `6 k "TcpMaxHalfOpenRetried"=dword:00000050 : r( y3 J1 F: \0 D9 N/ g
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ; V+ Z, Y- w0 r3 M6 a9 N
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 / g8 F/ m9 I3 n2 S- j$ t
微软站点安全推荐为2。
$ R" ]! x; g' o+ _$ h "TcpMaxConnectResponseRetransmissions"=dword:00000001
- d. H+ K9 v& A3 {; g/ q 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
4 s' _: \. W9 @) G' v" Q "TcpMaxDataRetransmissions"=dword:00000003 5 ]# a# x2 C2 B: S
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ m5 t1 B3 | k# Q( h+ H1 D "TCPMaxPortsExhausted"=dword:00000005 3 W+ P( P8 Q: h
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
6 @1 t% O) G6 C9 w8 Z7 Z i4 k y. I "DisableIPSourceRouting"=dword:0000002
4 x* o! o) Q! a: s$ V/ D2 `, [ 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 % {3 q) }* N: L& O6 f' W
"TcpTimedWaitDelay"=dword:0000001e
0 z, ]; h. O+ i$ T* D2 I, m# H, q; G! |8.如何避免*mdb文件被下载
; n: @. U- l- I( } 安装ms发布的urlscan工具,可以从根本上解决这个问题。 ! v6 i; t* V* e0 ^
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) M) ]8 o+ S! Z& u4 E3 o& n9.如何让iis的最小ntfs权限运行 : s9 I; H# D, x: E. V4 V
依次做下面的工作:
- m/ W3 N3 T$ M( a a.选取整个硬盘:
% |! g3 I' t9 \ system:完全控制
/ u$ F% D9 {) k: Q9 d1 t administrator:完全控制
1 d: z! B: O7 {5 h/ Q( e (允许将来自父系的可继承性权限传播给对象)
8 X9 L8 }- F6 e% U. R0 c b.\program files\common files: 2 y" f L, f0 ?' i+ q
everyone:读取及运行 : j+ V7 f) z( F' ]3 }, r
列出文件目录 5 M2 k+ r) a- _8 i+ {/ b
读取 - e$ F" {4 K/ o; f4 F' \" S& B
(允许将来自父系的可继承性权限传播给对象) " w; G1 `& ~5 m q9 |6 J0 D
c.\inetpub\wwwroot:
* [3 P7 A* T/ N$ N) N/ O C iusr_machine:读取及运行
) C d' @+ V. |4 n0 @7 V* A6 O8 j 列出文件目录
# L8 | h( W& O2 s$ E2 D 读取 ) M/ D1 P2 n. N+ R
(允许将来自父系的可继承性权限传播给对象)
8 }" v& k( n8 h8 f: ^ e.\winnt\system32: + J, a: K3 Q1 A* L
选择除inetsrv和centsrv以外的所有目录,
! y8 W; E9 G0 F" V4 c9 Q 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
?3 ~1 i) V" u1 m# S f.\winnt: 2 X+ ]! r. l: U- M' u% b. y
选择除了downloaded program files、help、iis temporary compressed files、 * L! d' q9 @- F9 f
offline web pages、system32、tasks、temp、web以外的所有目录
* [* b1 [( S# l. _% [0 c 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * {( f! }5 Z7 l) a/ _+ l2 q
g.\winnt:
% r: E# O% ] c: s0 d) P- C/ j everyone:读取及运行 2 H/ R# i) a6 N
列出文件目录 8 s4 o* b/ {4 C. Z
读取 6 A' {* A9 m9 t2 c6 w4 Z E/ Z
(允许将来自父系的可继承性权限传播给对象)
) {+ h+ P/ e% D% M! } h.\winnt\temp:(允许访问数据库并显示在asp页面上)
. L0 {4 M2 N9 [ everyone:修改 ! t# _* h# l R4 m0 S6 U! y1 R
(允许将来自父系的可继承性权限传播给对象) 9 |$ X" Y7 }% f2 A) {5 P
10.如何隐藏iis版本 2 H2 Y3 h$ Z6 ~* u& H: ]6 \
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
! t [+ b$ m4 Z1 o$ @+ K' ^& X iis存放IIS BANNER的所对应的dll文件如下: $ G4 g; E1 L" L7 O+ K$ A, z; F
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
3 L$ B0 h1 H& w* d FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 9 N9 J& c! V. \
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 2 F' }/ k) n0 ]. `2 b) l) H) y; T
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
8 f, ?0 e( q4 d& \. |( @1 I 具体过程如下:
9 ^, {8 s9 c; n' T; j- m- {, q' c$ } 1.停掉iis iisreset /stop
. Y8 q4 @. E# k 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
& A3 d- w: F, g5 @9 U- _ 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
