|
一位高手整理的IIS FAQ : \% c" t& Y8 I" I4 D
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
" Y5 k2 }5 ~# m- z0 V0 n5 Z1.如何让asp脚本以system权限运行
/ x9 L, ?$ {) `/ m l$ m$ U 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 9 Q- D% |- v) q& }( `# }0 I
2.如何防止asp木马
, e" M, D+ ~! t; U- L" O 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
0 }4 s5 H4 U7 u2 e% e3 e6 x a regsvr32 scrrun.dll /u /s //删除
/ c6 M; M$ ^- b3 B3 p" S! w( J, Z 基于shell.application组件的asp木马
# E2 [- j7 Y% c+ R cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
; [: H6 w; L9 w: n, n. A regsvr32 shell32.dll /u /s //删除
" ^9 q& @' D0 S3.如何加密asp文件
w1 s. {) B- }: s 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 $ ~$ n# w/ M8 j
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& v; _* F0 Y( ~& o7 }% J 运行screnc - l vbscript source.asp destination.asp
' l3 J& t8 x4 g8 X8 F 生成包含密文ASP脚本的新文件destination.asp 0 K, z8 a. t: w/ u. d9 v
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 0 W5 s1 I4 U$ d' ~# P
但无法加密中文。 . [+ v W+ Q# U* r
4.如何从IISLockdown中提取urlscan ( i5 u* q$ p9 B. V f& q; B+ f- R
iislockd.exe /q /c /t:c:\urlscan
7 p$ |1 W. e4 m7 W+ o: h- O* [5.如何防止Content-Location标头暴露了web服务器的内部IP地址 + A5 P4 \/ c4 ^' C# q
执行
; W+ k( R: c6 E cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
2 W* a* {. ^$ d 最后需要重新启动iis
" ? j5 s+ C0 w6.如何解决HTTP500内部错误 , w# B2 y3 a9 T2 }) Z \
iis http500内部错误大部分原因
9 m. _, Q7 W3 d9 ? 主要是由于iwam账号的密码不同步造成的。 : A' W" x1 Y' c/ u; q5 `
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
: s8 e5 V% e! {+ \' y$ D: Q6 y 执行
2 w# n$ `' m5 D1 w cscript c:\inetpub\adminscripts\synciwam.vbs -v
2 V4 ]/ \+ A; ]8 d/ Q7 E7.如何增强iis防御SYN Flood的能力
2 x- [% e9 \$ y6 M5 c+ ?5 L5 ~% z( {+ r Windows Registry Editor Version 5.00
* d, t( ]: ?' ~, m7 a: C6 A [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
( m' t$ s* t: |: [: z 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 ! T5 v9 x7 Q/ Q. u6 i% X
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 Z# [0 X/ S; m; A+ e "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
, B0 f+ G$ Z: E0 t( Y "TcpMaxHalfOpen"=dword:00000064
2 o+ l4 p- B. ~% Q 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
, B+ A! x( ^3 F "TcpMaxHalfOpenRetried"=dword:00000050
! k+ H; }6 b) ~$ ]! E, G b 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 + g/ [& a5 M, [! ~
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
4 J+ W# L8 t1 h& m! R 微软站点安全推荐为2。 ( J: A" x' _! Z# J2 C" o. |
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ' X" _& U% n: \) J0 q) |( m1 {
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 6 q. p1 \9 x6 G8 ]. e
"TcpMaxDataRetransmissions"=dword:00000003
, x/ w/ x: }# F+ @ 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 o: U& K3 w, t2 L; m" r) {3 R" [ "TCPMaxPortsExhausted"=dword:00000005 + h# {" T7 w& @$ u
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
, q! z3 C2 e e# E7 q2 H$ A% }) j "DisableIPSourceRouting"=dword:0000002
5 E+ @4 y0 ~& y/ B- j; S8 D 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 9 r. H+ i; |, c! y2 Y
"TcpTimedWaitDelay"=dword:0000001e " Q9 f+ N. z( Y i: a
8.如何避免*mdb文件被下载
8 |. M3 N6 ?# q$ L0 t$ |) o4 t o 安装ms发布的urlscan工具,可以从根本上解决这个问题。
, [6 A+ d, A' Z. X7 d0 A0 e8 L 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
+ B+ v, f) `( e+ S/ r5 [; H9.如何让iis的最小ntfs权限运行 . b/ Q. U3 ]; N1 J. c6 }+ G$ m# R
依次做下面的工作: 1 w# B6 y% p3 c
a.选取整个硬盘: 8 Y" q( E- X* ]
system:完全控制
: M( ]8 v4 n, C7 m% B) e administrator:完全控制 , E9 n3 P7 }* _: A3 E9 `* d
(允许将来自父系的可继承性权限传播给对象)
7 w4 B7 N( X- V7 J b.\program files\common files: 8 ?; y' ^: V0 Z
everyone:读取及运行
; k; L3 g% w: u; ~% R7 Y _* N 列出文件目录
; Y# N* _, t& S' g- [) V 读取
3 T5 ?2 ]. U8 g* S (允许将来自父系的可继承性权限传播给对象) " P+ [" L9 A9 H" ^% H
c.\inetpub\wwwroot: `3 }* o; S% r" L) X8 E O
iusr_machine:读取及运行 " t' q' m& F2 ?, ~$ F
列出文件目录 ; f9 p3 w/ u, H5 t$ Q0 n6 i
读取 1 ^5 o$ u" l) g/ R
(允许将来自父系的可继承性权限传播给对象)
1 K% Q0 _8 B0 I; b, z e.\winnt\system32:
' u& \9 @- h( v% e: r2 Y$ W2 F 选择除inetsrv和centsrv以外的所有目录,
3 K) l" E+ C s5 P2 @* Z 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 5 n9 \6 s; [( J" x
f.\winnt: . }1 N. H5 S+ q' j) a
选择除了downloaded program files、help、iis temporary compressed files、 3 x: |* U/ s4 \& W3 n
offline web pages、system32、tasks、temp、web以外的所有目录 ( a9 \1 n- N& g- b% O
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 P4 b1 p$ r2 f. p g.\winnt: - z, W6 j" t) ~% a9 E% U
everyone:读取及运行 1 T' j' X0 R. Q% ^1 m) e4 E5 O
列出文件目录 7 f$ a+ }" J) ~% N' w8 b2 U0 s
读取
8 S+ P9 _1 p2 ~9 A, p (允许将来自父系的可继承性权限传播给对象)
( t6 }. w& y5 v h.\winnt\temp:(允许访问数据库并显示在asp页面上) ( U: }2 o* h# g& t4 Z5 c
everyone:修改 $ D' O" u, \# ^3 x7 a' O
(允许将来自父系的可继承性权限传播给对象) ; ~( t) ~- w8 r8 n Y$ c* Z
10.如何隐藏iis版本 6 o& ]8 [: m Q0 I
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
! V& E3 l, Q5 f1 I _4 }) s# x iis存放IIS BANNER的所对应的dll文件如下: 8 |7 f0 O+ E! W' t; C. T
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL ! p+ N5 r+ L# [
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL % `/ ^% u/ h5 @" Y! T& k# W4 L
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 6 d" A1 Q& z& C# u$ h
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 , F" g8 E' E9 D5 ?( x
具体过程如下:
' M2 v0 v" z4 J3 p0 n# p 1.停掉iis iisreset /stop 7 _0 w2 S$ T! C9 G% l6 N" A0 U8 U
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 * `( w7 F, Q: p6 X2 T
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
