|
一位高手整理的IIS FAQ 8 b. W% V+ @5 k" y& d6 c n7 a
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ! ?1 V( ]3 ^" v# A- Q
1.如何让asp脚本以system权限运行
6 s: @; P1 z b6 P K 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
0 W3 P& u: g4 i. I7 l- ]. u2 p2.如何防止asp木马
' F! P( K n( W. H! X+ s 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
& g; n6 _) h: X0 A1 t# @0 E7 p regsvr32 scrrun.dll /u /s //删除 9 C3 d2 Q9 m Y) R1 `, g
基于shell.application组件的asp木马 8 _9 \' g/ Q# ]1 L: A
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 0 |8 k/ a' F9 @9 p/ O% N5 ^+ \5 A
regsvr32 shell32.dll /u /s //删除
; B1 k! m! r2 C% A3.如何加密asp文件
7 {: ~/ {) G7 N* Y- Q1 l1 Y7 m 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 * A! v( t. W# B
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
4 F9 H4 @ q* ], i+ I 运行screnc - l vbscript source.asp destination.asp
% B% j4 q( H7 [4 Y 生成包含密文ASP脚本的新文件destination.asp
" f% ^6 `: G& r+ M8 ^: s) [ 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 4 J6 D7 [- R F' C( V# w' A
但无法加密中文。
0 c' x1 V' F) O) O ~( Z4.如何从IISLockdown中提取urlscan
, Y3 a: e; s+ g6 x; I iislockd.exe /q /c /t:c:\urlscan
$ G4 O* |( M! ^+ z5.如何防止Content-Location标头暴露了web服务器的内部IP地址 0 H/ i& L9 p$ v& Y
执行
, R" z9 d( _) D! c' c5 { cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 0 I) _: A! S8 y. E" r- ]" H
最后需要重新启动iis - B% ^7 n# g) T8 Y: j6 M
6.如何解决HTTP500内部错误
" n3 d) R1 g4 U* B8 [, m- i iis http500内部错误大部分原因 6 }' C' w$ h0 a: j _: I+ R
主要是由于iwam账号的密码不同步造成的。 ; H& Y# w0 y$ G3 D. u4 C% T, g
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 ) V% g+ [. h, a4 @ K, r7 q) ?
执行
- m) }8 {1 E- F# l* r cscript c:\inetpub\adminscripts\synciwam.vbs -v P" `4 L: a4 ~) x. `
7.如何增强iis防御SYN Flood的能力
* H5 ^& F5 g/ t% O" b Windows Registry Editor Version 5.00
* Q' m( v7 N8 n8 y4 ?# g' l [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
, }4 |9 {0 x" ^$ M, a w 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 . [+ t. h! l: Q' s( D- |4 N
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 8 Y: D: N3 g0 u) t5 W
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 / o6 A; m3 {% J6 n4 t
"TcpMaxHalfOpen"=dword:00000064
9 @, A; W3 y. @2 v 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 7 m% y5 i/ I% I3 g1 j( m. M
"TcpMaxHalfOpenRetried"=dword:00000050
4 T0 ?/ D; y1 ?& L; a9 R v 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 3 x6 d7 ?) |: I" e# ~/ K K0 }
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
0 @! N& H* b) n! @: {# y( e) b, G 微软站点安全推荐为2。
2 N$ `. \5 O& U" Z, L0 ] "TcpMaxConnectResponseRetransmissions"=dword:00000001
: i# S/ e) d, l) |8 V 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, q, Y( Q2 d8 W% Z$ P "TcpMaxDataRetransmissions"=dword:00000003
' r/ K8 z! z6 r& A& S* F! l2 e 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
+ X9 p' h/ w; r: T5 g! x& s "TCPMaxPortsExhausted"=dword:00000005 + a/ a2 T! }# ?% }/ `5 a& G X! X
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 $ B, `: h8 _0 a! l2 t- v; V
"DisableIPSourceRouting"=dword:0000002
9 Q( t9 V" U9 W1 O: E% L0 L 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 - y) L, M3 Z9 [7 s/ C
"TcpTimedWaitDelay"=dword:0000001e ! T2 [3 i2 J! s' j) F6 [
8.如何避免*mdb文件被下载 3 B- L% N" E$ V
安装ms发布的urlscan工具,可以从根本上解决这个问题。
9 E# G! D n( {8 j6 Y 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
8 `0 {1 k4 d" @2 H9.如何让iis的最小ntfs权限运行 ; \' t7 Y2 k% S: s* {
依次做下面的工作:
8 ~* q/ Q0 s: J v5 ?2 |7 F2 l a.选取整个硬盘: 1 x' ^) S. X7 h+ P- _& h
system:完全控制 4 F1 d7 T5 P$ ~+ d3 G
administrator:完全控制 9 Y* l/ |1 ?6 R o1 q/ Q
(允许将来自父系的可继承性权限传播给对象) ( d: m# o8 a7 n0 H6 {+ Q
b.\program files\common files:
! _2 o0 y3 {3 W+ Y) _5 S( M everyone:读取及运行 . ~; {6 z# y* U
列出文件目录 ( ]" b8 @$ d& j5 ]# i
读取
2 V3 {" |7 i& o3 V5 Z (允许将来自父系的可继承性权限传播给对象)
3 G, h, S" I. ^; n0 q$ }/ Q c.\inetpub\wwwroot: 5 K4 N) c2 q" S0 i9 L
iusr_machine:读取及运行
! d; K2 }1 {6 \1 @8 `2 `* a 列出文件目录 % F( o! s6 s) p/ k9 R& H
读取 7 G; q& o8 t, Q7 X7 v" e0 R
(允许将来自父系的可继承性权限传播给对象)
- m. t! O* u; [ e.\winnt\system32: ' N! Q* [$ C1 Z; c
选择除inetsrv和centsrv以外的所有目录, ; G" @! P+ R# M0 }" G) }% l
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ P8 C6 j% {% j" u {( l f.\winnt: 7 _: i+ f2 w+ |& l1 [
选择除了downloaded program files、help、iis temporary compressed files、 , o) t7 I/ @% v2 {- X. t, _$ M
offline web pages、system32、tasks、temp、web以外的所有目录
0 O/ X2 N- E3 J% y+ ?" t! o, _ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 J& a9 Y, e( B2 L; ^ g.\winnt: # n& _) l; b2 Q
everyone:读取及运行
r; s/ J* R2 s- j, V) P# C/ } 列出文件目录 - }( ]6 `# B# o! e( u. }( e
读取 t! B! `% y) d0 |9 P
(允许将来自父系的可继承性权限传播给对象)
6 T4 K) z3 x9 ^ h.\winnt\temp:(允许访问数据库并显示在asp页面上)
: W, N# ?$ A _5 r5 H k everyone:修改
6 C) @8 l2 N0 m; Y7 k (允许将来自父系的可继承性权限传播给对象) + y) f1 r1 e- O2 v
10.如何隐藏iis版本 9 z- M9 R3 c; n4 `
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ' J5 O1 K- L8 S
iis存放IIS BANNER的所对应的dll文件如下:
?% A8 [* z3 v# e( t WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL ) K/ o4 g; Q8 k) Q
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
9 e- r! K: Y8 ^; W+ w. J SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL " {5 ?8 M& C& ?) t8 g4 c
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ) H: v# q# }5 |/ @
具体过程如下:
! K6 H* D* G9 H 1.停掉iis iisreset /stop & o; ~8 p2 a3 R5 U3 w
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
0 l4 f" g$ x: z* v( o0 i 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
