|
一位高手整理的IIS FAQ
N3 |8 \, _* F+ J2 v/ u5 p8 M; x下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ' Z5 N3 ~. {# T" [4 @! b1 q. i
1.如何让asp脚本以system权限运行
9 Z. j7 \3 W9 ?% X 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
9 W8 S! \, `! @9 ?: n# F7 ?2.如何防止asp木马
7 O5 b# l0 Q7 V$ t" b 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
5 U6 J5 P* i' V1 s5 r' |8 P regsvr32 scrrun.dll /u /s //删除
3 X0 A9 ^, T2 u0 _ 基于shell.application组件的asp木马
9 C J: |3 }; y, @/ [% U cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
$ I$ O! W" r, j" z% k regsvr32 shell32.dll /u /s //删除
0 [: G3 B) h, Q2 `3.如何加密asp文件 / D( W( {$ F% ^% V+ E. {
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 % L& D- Q. H0 f0 Y5 Y0 [
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, D( ]( p' J. N+ k+ }+ E 运行screnc - l vbscript source.asp destination.asp " `: Z) O4 Z2 n4 F, u
生成包含密文ASP脚本的新文件destination.asp 7 L! [' i9 a' p7 ?1 f8 O1 g
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 ; C% M, E6 F5 c: h
但无法加密中文。
, K/ W6 ~2 m3 u# l3 i% K M4.如何从IISLockdown中提取urlscan ' X7 D% l$ X/ F
iislockd.exe /q /c /t:c:\urlscan % r* {- g8 M1 ?% Y) s0 ~
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
# N/ R/ b1 A( T1 s8 v; o! H1 m, Y 执行
3 l3 D7 I* s% m6 l. @: G cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
2 W% T# s. b4 d$ q) D 最后需要重新启动iis
0 x$ ?& r) S' K; ~, u6.如何解决HTTP500内部错误 . L: o+ O5 N: ~" Y
iis http500内部错误大部分原因
' c$ b* ]4 C/ I: [' b 主要是由于iwam账号的密码不同步造成的。
/ Z5 c" G+ V# E' s o: e" z# I: o 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
: {: W0 \) d1 m% R6 K' R 执行 % M$ O% q4 m8 R9 \" d# h, Z
cscript c:\inetpub\adminscripts\synciwam.vbs -v ( @' `; S- C! F0 m0 U- c4 ?) t
7.如何增强iis防御SYN Flood的能力 2 f5 K' V5 |% D& g
Windows Registry Editor Version 5.00 $ \: C* V9 Y; Q9 y% h- L* b/ F v# }$ F+ e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
7 l4 \% m$ K( F7 o$ `) y4 C+ v+ g0 B 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
* _ b+ [0 D0 L, p r5 N o h 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 2 P' h" g* ~, R4 K2 n& n
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ) T/ z5 w( R! Q
"TcpMaxHalfOpen"=dword:00000064 ; F5 G4 t% V8 _& k+ _2 | c/ k# S
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 7 Y! z0 H8 o5 h4 s0 ]
"TcpMaxHalfOpenRetried"=dword:00000050 2 h9 r# C' m4 g) g
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
# V, D# k; G' U 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 * X( k; @+ V, u" O
微软站点安全推荐为2。 6 F( A' |& Q; O- T% X
"TcpMaxConnectResponseRetransmissions"=dword:00000001 8 N5 q4 C' N. Y3 K3 c% ~! x' [6 Z
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 % r) F1 \% f- i. G0 U( N$ {
"TcpMaxDataRetransmissions"=dword:00000003 ( e, ^" \4 w e) d$ c- f! M* b3 D
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
4 z7 h6 Q: b# l7 Q* A9 B4 s" \ "TCPMaxPortsExhausted"=dword:00000005
' V) w4 Z0 Y3 E 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 5 b. X" W0 E, W9 I4 H& ]. a! p7 R
"DisableIPSourceRouting"=dword:0000002 4 P+ t: G$ {, L3 c
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 1 i% N5 }7 n- N* ]) Q
"TcpTimedWaitDelay"=dword:0000001e
. ^) j6 {( i9 W, F' Y- `/ y8.如何避免*mdb文件被下载 # _) A# D* r0 x
安装ms发布的urlscan工具,可以从根本上解决这个问题。 5 `$ h' I. [. U1 m( e
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ) l1 U7 |1 O; @0 @0 o0 }; S* P
9.如何让iis的最小ntfs权限运行 9 D# l1 O W* x
依次做下面的工作: N, H$ q: s* F9 U) I
a.选取整个硬盘: ! ]+ E" t8 Y, ?0 D' Y4 b
system:完全控制
D- |6 p9 J7 z+ i5 Q& n6 p! Q administrator:完全控制
0 S3 R- ]7 a, C& V% {' X (允许将来自父系的可继承性权限传播给对象) $ g2 L# X: P% F! x% u' t/ Q
b.\program files\common files:
. M1 P( l7 M3 h% w z everyone:读取及运行 " H5 g0 N( W" F
列出文件目录 2 \1 I; r9 q* W5 k- J! F i
读取 8 D' Y6 I& }5 v5 C. o# J0 y
(允许将来自父系的可继承性权限传播给对象)
& F0 Z9 b8 Q: \! v2 w% E c.\inetpub\wwwroot:
: d! o/ U6 P# z' ~6 x: s- w9 [/ Y* q8 d iusr_machine:读取及运行
0 ^% c/ l8 k0 ?6 y/ z' [) ~ 列出文件目录
- K7 y4 Z1 h, p) r+ K* V- r 读取 / ~7 C( _/ O0 ?2 C8 b1 o! Z# G6 E( Q
(允许将来自父系的可继承性权限传播给对象)
* Y2 R# Z" L+ }. i; H e.\winnt\system32: 3 m; T7 J! w" d& Z' w
选择除inetsrv和centsrv以外的所有目录,
( [ h' [0 w% I& g: o$ u) V7 K 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ' m+ a! E2 a+ Y. R1 P- l
f.\winnt:
# K& w) o2 x4 Q- g' F( ~ 选择除了downloaded program files、help、iis temporary compressed files、 1 T5 ~1 r% w B' A% R2 \6 Z
offline web pages、system32、tasks、temp、web以外的所有目录
# K; z0 n1 s$ ]0 { ^ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 : K) U% P9 T! o+ i/ D( ?" B
g.\winnt:
7 C) y; @" \; x everyone:读取及运行 4 } s9 w. p" y( a+ Q# K3 m5 R* E
列出文件目录 ) [) K* f1 G; A7 Q+ O' K; m( G
读取
. [ R! [. p, ^4 |% Y (允许将来自父系的可继承性权限传播给对象) $ V# e! y# _$ o7 D$ ?
h.\winnt\temp:(允许访问数据库并显示在asp页面上) $ ?7 z+ {) U8 [ T ^, M
everyone:修改 / m q% \3 W7 e$ ~
(允许将来自父系的可继承性权限传播给对象)
- e; Z; ^$ A8 K' _% k4 k10.如何隐藏iis版本 , P1 V. e8 b5 {) e7 C! [
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
0 [- a3 [: b# I$ d) a2 p' R iis存放IIS BANNER的所对应的dll文件如下: + O$ O+ g+ K7 u2 ?) x Z5 {6 b
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
3 m) y7 @" j# v# G1 u" h- G2 } FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL : D& S# O- [6 p0 y; M8 v+ R
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
: I# Y; s4 O1 I2 |' L 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
9 w3 k1 A$ e. `9 h* D. {7 D% V 具体过程如下:
$ {6 ^4 Q" z7 Q* e o$ C8 l 1.停掉iis iisreset /stop " Z" K/ N0 r" Z! u$ e1 q+ U0 q
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 8 S& E0 v' i8 @& m0 R
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
