|
一位高手整理的IIS FAQ
! K8 `5 [; G' @$ P7 W; F下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
) r. E) n. W# L# R" t1.如何让asp脚本以system权限运行 6 |2 a* s( F$ L6 t. D! Q
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ! L! U* h2 h) B% k) {3 d) d! r, F- q
2.如何防止asp木马 ( _5 Z1 Z3 |# e. N7 D
基于FileSystemObject组件的asp木马 cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
' b5 s( P. i& w% I regsvr32 scrrun.dll /u /s //删除 / l, w$ P& w" }, a d/ }& z. F
基于shell.application组件的asp木马 # m3 F s6 N# ?5 X$ M b# M9 B+ P1 U
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
1 X3 G- B6 k& s regsvr32 shell32.dll /u /s //删除
- ?2 d, c" w6 k; n, O3.如何加密asp文件 7 E9 B2 A% A1 d. G( q
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 - z5 C* l2 |8 M4 s9 I
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 `: @! W3 ?1 e7 a* @/ U
运行screnc - l vbscript source.asp destination.asp
+ x v. [" H2 M5 B1 i: ^0 e' B8 J* z 生成包含密文ASP脚本的新文件destination.asp
5 Y' }0 k: s3 M+ |9 N 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
4 d" y) H [) e3 r; A 但无法加密中文。
. V1 k1 @: H5 {7 C4.如何从IISLockdown中提取urlscan
6 V2 ~7 G. G' q7 I/ M iislockd.exe /q /c /t:c:\urlscan 6 ^) S, T: ?" y' I# W
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 3 }: c4 I8 y% k4 q. B
执行
( Q( N7 }' z* F P! w& C, Z" {4 g* } cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True # c4 {& _4 R8 q9 e5 u
最后需要重新启动iis
6 E) Y, p t1 v [0 Z( Q; a1 e6.如何解决HTTP500内部错误
: h Q4 s- ^9 |6 x' M iis http500内部错误大部分原因
Z$ v3 j8 F6 Y 主要是由于iwam账号的密码不同步造成的。 3 Y+ ~; A) I7 [' @3 `
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
0 c7 i" \2 {( s2 u" L: E5 l 执行 $ I+ G. g' ^) a y" j
cscript c:\inetpub\adminscripts\synciwam.vbs -v
; z" o8 e+ Z) w7.如何增强iis防御SYN Flood的能力
: l3 Q) p# Q1 L6 Z) b+ e+ m Windows Registry Editor Version 5.00 ' l+ n5 i; l* Z& J3 H" o% E# s) n4 q
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
" @& t0 J3 Y3 w7 I7 \7 j0 A 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
: j* f: |5 A$ o+ O+ r3 C 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
. t% T. O* A0 e6 S% p, | "SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ) p# w. y. s0 ~7 P3 ^" V% b9 w* Q
"TcpMaxHalfOpen"=dword:00000064
6 A& z: K/ {* P( F5 P 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 $ m d& Z/ h% [& B
"TcpMaxHalfOpenRetried"=dword:00000050 " B; c$ W8 U' G! G
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 $ N: P; M3 c) _4 e
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 i( C/ v5 y V. |+ L5 u- Y 微软站点安全推荐为2。
6 L: [4 D4 A+ H) N "TcpMaxConnectResponseRetransmissions"=dword:00000001
: H2 l0 R6 t; e7 e5 s" q 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 , P: Z! [- |4 d0 I( L# Y+ g
"TcpMaxDataRetransmissions"=dword:00000003 : M0 P: A% I% X: E
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
' q; x" U3 I }9 d' O7 X+ E "TCPMaxPortsExhausted"=dword:00000005 7 M) i5 B" r' q7 F( j
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 # D4 Z/ @0 i0 v
"DisableIPSourceRouting"=dword:0000002 / k! o' G7 I- w
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 / f ]( [2 M u5 l2 f3 ]- [
"TcpTimedWaitDelay"=dword:0000001e
y7 c& I% k* p% j2 `1 [8.如何避免*mdb文件被下载 7 ~& o6 ]( t' f2 D
安装ms发布的urlscan工具,可以从根本上解决这个问题。 + T9 ~. `* Q; C2 |! m$ D3 U- z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 . q$ q) R* l% f* B7 U
9.如何让iis的最小ntfs权限运行 % x5 s6 D# y+ I0 `" A# ^
依次做下面的工作:
2 [8 |. S1 X6 h7 B4 \ a.选取整个硬盘:
; A6 b1 s/ Y2 b( k9 D1 s system:完全控制
4 u! g5 p) P6 c6 ~5 d administrator:完全控制 : o9 {8 ]& W8 [( d
(允许将来自父系的可继承性权限传播给对象)
, P, k7 U% a/ S3 v" T. t9 q b.\program files\common files:
/ w9 Y4 T9 P( f everyone:读取及运行 ( d( j1 q6 E2 Q V" n( [8 n
列出文件目录
+ ^) c+ p* ]. G" t3 z$ s 读取
! D4 A3 Y y9 E3 x (允许将来自父系的可继承性权限传播给对象)
. U c6 S3 ?- t' m c.\inetpub\wwwroot: . I- S3 p4 m& u$ u4 N; Y$ D+ Z j7 J3 i
iusr_machine:读取及运行 9 e' s/ _" J0 L
列出文件目录 2 x! ?) x1 t: b
读取
B/ X) E8 i1 D1 O- D7 o( l (允许将来自父系的可继承性权限传播给对象) ; K# ^5 H' [- X8 ]/ j( G' _
e.\winnt\system32: ; I5 I7 c$ L# r) P5 t, [( m7 j
选择除inetsrv和centsrv以外的所有目录, e3 L, _, @' N- l* W
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 " _/ g w7 l' r& f: n
f.\winnt: 3 D) S4 l" O1 J" O- ], D; h- q
选择除了downloaded program files、help、iis temporary compressed files、
& Q! y9 ]+ N: ~6 X* B offline web pages、system32、tasks、temp、web以外的所有目录 - b4 f1 q% Y) H* C0 N
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! i7 x" N6 C6 y- w/ W7 w g.\winnt: : ~* L5 E' i* B6 P
everyone:读取及运行
( s$ X( D6 Y; ] 列出文件目录
! k0 g0 ^( G& j3 f4 j 读取
# U0 d0 _4 J) t (允许将来自父系的可继承性权限传播给对象) " v: f% ^9 N! v, ^5 e0 K' `
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
$ m0 y2 G" [& a4 [ everyone:修改
# Y9 F# k- ^1 o. O' H (允许将来自父系的可继承性权限传播给对象)
2 r& h: y$ H u- m10.如何隐藏iis版本 * d! `9 D6 D8 Z
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 7 Y0 M5 {$ m: O6 X" S% j; g
iis存放IIS BANNER的所对应的dll文件如下:
* u P, s3 k- i( ~* y( K WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
% h/ q" j( h, r N' j FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
. b# q$ h8 z& [0 K9 a9 y! [ SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 8 @7 K, B/ C1 A; m5 R8 I
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
% I! {0 c5 I# y5 D: U 具体过程如下: . g1 m: h" v6 D) J; Y( j, V
1.停掉iis iisreset /stop
8 x* \% A8 R' P* }3 _* s0 U 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 N- h; v( l8 U' d- p: `2 c. f
3.修改 |