|
一位高手整理的IIS FAQ
0 H0 I. W* l8 V% r/ X下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
- `" w8 b8 j6 R1.如何让asp脚本以system权限运行 6 F* k- @8 [( ^7 [' ?$ n+ x
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
0 W( Q+ j" g+ t3 i7 P2.如何防止asp木马
6 I+ M0 Y0 B3 v5 y# `! U* |1 V# n 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
. v$ ]3 G' v+ l1 P" w0 T2 D regsvr32 scrrun.dll /u /s //删除
- R6 S3 G2 i" a# v! _1 V 基于shell.application组件的asp木马 6 Q3 e0 j L8 v0 M6 [( I
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 / G9 E6 [' \0 q2 s: f
regsvr32 shell32.dll /u /s //删除 . u0 B. `3 d+ _1 {' B( e
3.如何加密asp文件
" c) M* U" @* [5 t& g. P! ^5 ?; j 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ; \: H2 ] ~+ ^0 ?4 i' w
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 " A( K+ i; F, Z& ^( \
运行screnc - l vbscript source.asp destination.asp
, y6 I: I9 r7 a9 e% \0 H 生成包含密文ASP脚本的新文件destination.asp
5 x4 ~) G6 C6 k4 X B! B 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
% V4 f# j7 Q" H: |! t8 w0 v 但无法加密中文。 4 T a1 M! c& g/ u& Y1 y
4.如何从IISLockdown中提取urlscan
0 A( z+ M' b! ?6 g3 d& m& x iislockd.exe /q /c /t:c:\urlscan % N3 x+ e9 \ C9 h; h7 N8 _
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 & k( q( { ?0 R Y! f0 Q
执行
; H* B4 L; a2 W& P( Z cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 1 c( x2 q3 V5 n% f! Y. J W
最后需要重新启动iis - Y c( B$ s9 W: @2 Y" y
6.如何解决HTTP500内部错误 5 Z1 b! ^- k; W& A
iis http500内部错误大部分原因 6 ?4 c2 n: n+ i
主要是由于iwam账号的密码不同步造成的。
B, P! z" D6 C' T, } 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
/ z3 N6 J2 O) F4 {4 v! H) h3 Z' i 执行
+ t; Y4 v/ U* n+ C cscript c:\inetpub\adminscripts\synciwam.vbs -v " o X Z0 V; f0 n# r; i; r: y
7.如何增强iis防御SYN Flood的能力
5 l7 @3 l: r y3 e Windows Registry Editor Version 5.00 6 @4 M0 \& a- T( T$ a
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] $ u' c, ^0 U0 T- Y3 e
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
* C, {5 p4 j- g7 u5 P 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
8 ?. R6 j; Q6 l* l "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
+ _' k$ k) t1 R$ {: J "TcpMaxHalfOpen"=dword:00000064
! E% t5 N! v6 {9 V! _ 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 # ]9 b+ l# G: J: M( m
"TcpMaxHalfOpenRetried"=dword:00000050 " V0 N- c0 D5 E2 [4 T3 d
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( m$ ?. n5 a, ?- {% ]4 B0 i/ w, W 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
( l/ S+ t& _0 |4 H9 [, e/ g 微软站点安全推荐为2。
+ i1 X2 B( w$ l& U4 p, o "TcpMaxConnectResponseRetransmissions"=dword:00000001 : I9 k1 Y" \' F! P5 l% ]
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
& l' ]9 l M ]- D0 V$ P; L4 J "TcpMaxDataRetransmissions"=dword:00000003 + F1 Q) d0 h3 G1 }8 a
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 # N8 O2 g2 x& ~# t7 L5 f$ m! t2 a
"TCPMaxPortsExhausted"=dword:00000005 ! K% H" a9 O' ^ N4 d
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 6 ^& z( j ^" W# V. H2 {! a' U
"DisableIPSourceRouting"=dword:0000002
# o% x# R" F6 G$ z9 [ 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
+ Q2 J9 A: @8 k m/ s4 i! x) w1 f "TcpTimedWaitDelay"=dword:0000001e / R3 g& C" n" Y: w
8.如何避免*mdb文件被下载 5 }. `3 B" ?) S4 s+ j" X$ `
安装ms发布的urlscan工具,可以从根本上解决这个问题。
9 i& S; l* ?& I# x3 @ 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
1 D: {' O. b( G9.如何让iis的最小ntfs权限运行
: e+ g6 G/ M' z( Q3 T 依次做下面的工作:
1 g8 K0 j0 @* \4 f a.选取整个硬盘:
7 _' k9 f" S6 S system:完全控制
+ k9 h+ Z) z0 \- C administrator:完全控制
0 k$ ?2 L, G% G( L (允许将来自父系的可继承性权限传播给对象) 6 M1 O9 u$ k% S' L, n+ f# \' S
b.\program files\common files: " w; c5 }. Y: }3 [% j
everyone:读取及运行 " C. U& B9 B( z( X$ n+ {9 \' E* m
列出文件目录 / F3 z, @$ ?" H& W- @
读取
5 w8 N3 c$ B; {( E: q1 F( v6 f (允许将来自父系的可继承性权限传播给对象) + _$ V) z7 E) Y
c.\inetpub\wwwroot:
# Z( N: N4 O6 @3 m" A iusr_machine:读取及运行 6 [: Z$ f: ~! y/ p
列出文件目录
) u$ M9 C, `0 M3 e4 Q+ G 读取
( Z5 ~ V b2 S% e& @& _0 B (允许将来自父系的可继承性权限传播给对象) 0 _+ Z6 x+ Q& O) k) p2 j
e.\winnt\system32:
1 z2 w! Y9 s- r F8 t! X+ N3 T" ?2 S 选择除inetsrv和centsrv以外的所有目录, : G" S. s1 K( }, V3 o1 r) `
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 3 r/ b) e9 v+ h
f.\winnt:
0 h( N* y- t8 f2 D, G6 F 选择除了downloaded program files、help、iis temporary compressed files、 ' h- V! @9 `5 z
offline web pages、system32、tasks、temp、web以外的所有目录
/ n" W. b. o( S 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 a8 ?0 m" g, {6 } g.\winnt: 3 h! Q2 ^2 u- c" Y% q
everyone:读取及运行
@4 R ~ W) S) L( f 列出文件目录 " P+ [: g. i8 A/ P6 F6 z& z
读取 5 {1 h7 w2 P6 l' V
(允许将来自父系的可继承性权限传播给对象) 4 s5 Z: e7 e G9 w6 g' Y
h.\winnt\temp:(允许访问数据库并显示在asp页面上) % {( B: y" w. T7 R! C
everyone:修改
0 T0 U$ ^ L3 t8 R2 w: K! {) @ (允许将来自父系的可继承性权限传播给对象) 8 }3 q8 `3 I# A7 [) ]
10.如何隐藏iis版本
. c4 g; t* o9 h# I! D' Y 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ j: n3 `, y. B1 ?. I P( }( c iis存放IIS BANNER的所对应的dll文件如下:
% J& ]* J5 P1 a6 Y WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
* c+ h6 I: `# o, L FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 6 k8 d* L) p. `! R7 o0 `3 A
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
: j" n( b, _5 R" z" U 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
- Y2 I; S' l1 X5 ]& v 具体过程如下:
, b# ?' U/ F" `* d/ n# r 1.停掉iis iisreset /stop
* V2 K# k4 ?" c! L2 G8 s t; v& I 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 ' y6 t% |8 M- g; |2 ~, M
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
