|
一位高手整理的IIS FAQ
3 ?" C' p* ]: _下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ' B5 o4 o& q b3 t3 C
1.如何让asp脚本以system权限运行
& u9 r9 Q2 t u) Y: E 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ) x' H9 a& R* _8 p2 T; \% D+ A0 _
2.如何防止asp木马
% W( D' f, Z M( w {* P* A 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
4 r' C& U( A8 o9 o6 r* v$ R regsvr32 scrrun.dll /u /s //删除
( H) \) z) C1 V) M5 e; I9 d 基于shell.application组件的asp木马 % A. a( f. }) m5 G1 O- u
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
! K; B$ o1 c2 q0 J: [( v regsvr32 shell32.dll /u /s //删除
+ V! x- Y+ z; |7 j- m+ i5 s3.如何加密asp文件 : w3 v5 x% g; }1 R6 e; B) J
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
# S( | y5 s: t6 {2 h% f( V 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ) m/ [# k- G, m9 Q7 x. f" {
运行screnc - l vbscript source.asp destination.asp ( c- ?4 s0 a- }1 C
生成包含密文ASP脚本的新文件destination.asp ! b& E3 c1 }% S0 o# H" L
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 , n4 e0 O6 |2 w5 u M# O/ o4 X
但无法加密中文。 % n9 q* g' K3 [. V
4.如何从IISLockdown中提取urlscan : W% k K0 ?6 L: o
iislockd.exe /q /c /t:c:\urlscan
; J4 P8 v) L& I9 N. C0 L/ T5.如何防止Content-Location标头暴露了web服务器的内部IP地址
S' N( W7 \4 C+ @: n: g. Y 执行 % F& R& |) n- b5 }) b8 x* ]
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 2 a, R2 m8 O5 V& o
最后需要重新启动iis 0 J& H @$ w( j0 p
6.如何解决HTTP500内部错误
5 h# j/ ?- d, I5 x iis http500内部错误大部分原因 . q2 u; W% \$ o
主要是由于iwam账号的密码不同步造成的。
3 F" D: U. C" T% \ 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 6 `: G( }! y- _( F. P" Z% n5 f9 G
执行 ) ~( E, A2 B3 S3 I3 O" o7 `2 ^
cscript c:\inetpub\adminscripts\synciwam.vbs -v
: J' @* \2 S2 J5 [6 W, j' g7 o; X; l1 z7.如何增强iis防御SYN Flood的能力
5 V! U. E0 ~- Q1 g" m6 r% a Windows Registry Editor Version 5.00
! r. ~8 ^2 n) ` [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
& H; i# _; x7 U% }+ h. g# ~ 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
T r0 t* r5 ~# v/ M 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
! ?0 x6 f2 h) j) v; q "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 " \& d$ {. D& ~9 c! H
"TcpMaxHalfOpen"=dword:00000064 : S/ [) b- m8 H9 J. X4 m
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
`1 o/ v1 F; V5 |) Y' t6 v "TcpMaxHalfOpenRetried"=dword:00000050 ! A+ v w) C5 ~* s
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 . ^! x4 |9 _- @# _( Z8 n+ P& |
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
) [, N' c- x. p 微软站点安全推荐为2。 - h5 }3 t u) L/ k* R
"TcpMaxConnectResponseRetransmissions"=dword:00000001 0 ^2 ]- O T4 X2 P8 W9 U0 }6 _/ E
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
8 n' s# E6 B# F9 E) N "TcpMaxDataRetransmissions"=dword:00000003 ; r1 s# h* k$ t; Q/ A
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
6 |) [0 ~" f/ C9 f/ v) Y$ i* ? "TCPMaxPortsExhausted"=dword:00000005
; Q# x( }* d# I5 O" S0 e 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
9 z m$ \+ C- n6 z "DisableIPSourceRouting"=dword:0000002
# d1 U: p3 j( r0 y 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 . Y; G0 p/ R+ H% F
"TcpTimedWaitDelay"=dword:0000001e
7 a* y% v. Q( u; K* k- W0 x8.如何避免*mdb文件被下载
+ {/ X+ c- y! }2 ~+ H6 E 安装ms发布的urlscan工具,可以从根本上解决这个问题。
& U4 H( W& O( r7 S 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( i$ z9 l0 y. t/ z9.如何让iis的最小ntfs权限运行 9 p. K8 V' h5 b/ e! P4 l
依次做下面的工作: 3 D; D$ g! d% ^$ F) R9 l/ |
a.选取整个硬盘:
* P' i$ y3 P( N' H1 O system:完全控制
6 x+ N d0 w- U) E administrator:完全控制 7 j( `' b( v3 `0 a0 m$ ]+ L
(允许将来自父系的可继承性权限传播给对象)
" F" R; d9 e, P3 j7 k8 q b.\program files\common files:
; u$ O/ h, f" @* [. I" Z everyone:读取及运行 # t; b, {3 ^- v3 `
列出文件目录
[, @ ]1 s# r6 l8 u* J! s 读取
6 G! I8 K9 R# \; Y5 o. e' ^- Q (允许将来自父系的可继承性权限传播给对象)
; M0 N% [1 K, U4 j( q c.\inetpub\wwwroot: 6 ~8 S2 K8 K- T7 X) E% E, d f! F, ]
iusr_machine:读取及运行 # g7 Z8 Q8 w/ l6 R8 j8 _
列出文件目录
5 m( V, N" |2 W b 读取
6 v: ]0 o7 t) g (允许将来自父系的可继承性权限传播给对象)
$ e9 E$ x8 J5 d' q5 c1 j e.\winnt\system32: ) o" v/ M, r1 ^! R1 `* ~
选择除inetsrv和centsrv以外的所有目录,
# E6 i( W& x0 K 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ e( o6 f9 b# J1 V6 u f.\winnt:
' w! ?4 B0 u9 x- R) l7 S 选择除了downloaded program files、help、iis temporary compressed files、
; S1 v# P0 _/ f K2 k offline web pages、system32、tasks、temp、web以外的所有目录 $ q* M* g. x' [# l2 h3 C3 l/ Y N1 r
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; N' m, N' C) F0 o( q0 y ~2 v! u g.\winnt: ' V+ h P/ d& g: T" X. u% w3 u9 X
everyone:读取及运行 - f4 L1 `# T9 J' C
列出文件目录 2 X' r" u3 U- s9 B' {5 D! @- l
读取
; y! V( F2 w1 _ (允许将来自父系的可继承性权限传播给对象) , }% L; ~+ I6 L& m
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
, e: K' a0 E# s- r everyone:修改
6 Y. P* f, @. v- t4 L6 @) { (允许将来自父系的可继承性权限传播给对象) 6 Q5 P* u! F$ Y; p ], p9 a3 \
10.如何隐藏iis版本 4 T' C2 u9 g$ H. k
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
& V/ ?+ q+ Q3 n: n' b iis存放IIS BANNER的所对应的dll文件如下: & q7 S6 T! l7 a8 ~$ L+ l
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
* r# A- V! Y e% ] x6 D FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ; `8 R8 f: `" q+ C m: n2 l
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
3 c: ^/ i0 p1 t- A4 G6 C 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
9 ?/ b2 Y0 f1 J, d2 n- o: o) c$ ^ 具体过程如下:
5 ]6 o3 T: c$ ^/ m+ }0 L 1.停掉iis iisreset /stop 2 t' c: e- s/ Z6 R1 T- L( Y
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 " u h. p9 Z# M# q
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
