|
一位高手整理的IIS FAQ 3 L. m9 u* r: D) b; M/ }' W! J
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! # d6 E3 Z* p! o
1.如何让asp脚本以system权限运行
4 ]# F+ C6 P5 E 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
+ a! P+ V) c" i3 c. T; G' C. X2.如何防止asp木马
+ |$ n8 v) B& o; ]. b2 Z, l 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
/ ^/ }) S) c2 v0 o regsvr32 scrrun.dll /u /s //删除 " f' w- ]$ h" g
基于shell.application组件的asp木马 * J! E# Y- u- L7 t& W
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 5 I) _# Y# r% h7 T8 H9 u+ Y
regsvr32 shell32.dll /u /s //删除
' v2 `% `) L9 m: {4 ~3.如何加密asp文件
$ s+ m5 E1 N( x2 c6 y; @: G1 {: t. V 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
+ P( X. b7 Y* M% y# F2 A0 [ 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& P" R1 O* U$ U) }7 h% j1 Z 运行screnc - l vbscript source.asp destination.asp
O$ r1 [0 y# j$ U 生成包含密文ASP脚本的新文件destination.asp
9 f/ ?+ b, |/ r/ p1 t& R1 r 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, S3 P5 w$ r& \6 J, `; Z 但无法加密中文。
: O5 i9 I, z) B y' {9 T$ m4.如何从IISLockdown中提取urlscan $ A; j3 t9 j$ ^: E, e
iislockd.exe /q /c /t:c:\urlscan
# n( q) e- P! ? Y7 q* c" y* C4 R5.如何防止Content-Location标头暴露了web服务器的内部IP地址 ; a* A$ y- p. T. v
执行 ( r \, x; Y0 M$ F: O
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 2 ^$ {. G" A. ^& U/ v3 _" [
最后需要重新启动iis 5 [- q* f' r7 I( L1 R
6.如何解决HTTP500内部错误
* I/ F: U+ y0 \3 X6 U( ] iis http500内部错误大部分原因
6 ~. g$ j* g: C+ A 主要是由于iwam账号的密码不同步造成的。
. S# Z2 M- F. c) ?7 j8 N8 y( J. [ 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 Y7 M& L5 |9 J0 N2 c8 A, u8 w 执行
0 r) V* ~$ K7 E6 c cscript c:\inetpub\adminscripts\synciwam.vbs -v ; M @; [: ?! r) T0 @( d3 z9 {
7.如何增强iis防御SYN Flood的能力 - z+ t, ^& H4 Z9 A7 _
Windows Registry Editor Version 5.00
9 `9 }- Z( @! g( i( G" q2 E [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 5 h: r. A; W5 Y9 z
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
! x* Z8 R1 y/ r7 O: C) ]4 ]8 { 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
: a$ y8 e i. [+ _& X "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ' B! y" [5 s4 Z
"TcpMaxHalfOpen"=dword:00000064
% T9 }$ G7 _1 v 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 0 _( U4 U' W7 w! K8 e( M* ?6 U5 D# J
"TcpMaxHalfOpenRetried"=dword:00000050
$ X4 ?3 C7 D1 H p$ F 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 , ^/ }7 ]5 s+ _. B
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ( @: ~& E1 J) `3 r4 L! z- w B8 C
微软站点安全推荐为2。
: ?* M" _7 x0 H" x; w "TcpMaxConnectResponseRetransmissions"=dword:00000001
" q u" ]& q$ G! a 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
9 K! H8 v3 t3 W l1 W "TcpMaxDataRetransmissions"=dword:00000003 0 @% r1 C" [" F% y
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
^- H* p- F, ^, X$ J3 L( T "TCPMaxPortsExhausted"=dword:00000005 ( B: O+ x5 G; }% a) ?! }0 A' Q6 b
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
6 f: C+ N, X S3 f2 C3 D, h "DisableIPSourceRouting"=dword:0000002
9 I8 E) I, p* X9 u, { 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 4 q, a; _8 b6 Q
"TcpTimedWaitDelay"=dword:0000001e ! }) H5 S6 V: D) I. E7 u$ b z
8.如何避免*mdb文件被下载 % r+ k) B( Q' ?3 `/ B- G5 d
安装ms发布的urlscan工具,可以从根本上解决这个问题。
$ j9 t. B2 B3 i9 ?1 p o* t 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 9 m% ], J7 q5 w* q9 t, Z
9.如何让iis的最小ntfs权限运行 7 ? o8 i" S* k2 q# l9 U' d: Z
依次做下面的工作: 9 D! U8 D( b. {5 ^
a.选取整个硬盘:
- I( c/ h0 h$ O/ I' W. w8 {0 q/ i& a system:完全控制 ( ^* }7 U0 |) B9 G
administrator:完全控制
' @/ a4 C; ]8 D i (允许将来自父系的可继承性权限传播给对象)
3 ^. i( x9 C3 T5 C9 y' c b.\program files\common files:
: r9 ?8 h, p8 S0 \6 x0 B3 k everyone:读取及运行
- U" n+ b. }% D/ P" h% K6 I1 O 列出文件目录 ; f! ? c8 L N* S
读取 $ d! n7 N( Y' {; w9 @5 q7 Y! B
(允许将来自父系的可继承性权限传播给对象) 6 J- A+ y$ N3 i$ @9 }
c.\inetpub\wwwroot:
" q1 w3 t( G4 e iusr_machine:读取及运行 9 q: S; p; b; ]6 n s
列出文件目录
% r7 m; r# I( E1 l+ t5 ~0 ` 读取
5 A) K* L/ j$ J (允许将来自父系的可继承性权限传播给对象) + ~" G6 u h* h. T6 V, ?! ^! X
e.\winnt\system32:
) z" | }5 l5 n6 i+ s 选择除inetsrv和centsrv以外的所有目录,
3 V+ y7 c9 O* v& l 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 % ?% F5 D) @) c8 e, w* G, V3 I3 }
f.\winnt: ) u0 u# q( J- t% C0 b
选择除了downloaded program files、help、iis temporary compressed files、
+ b2 ~8 c: y1 I) |( | offline web pages、system32、tasks、temp、web以外的所有目录
7 S8 @8 l7 K I0 {" }) y 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 5 `4 i& b0 C; E7 Z4 ~
g.\winnt: ' d+ l" ]& v+ j3 b7 v2 m
everyone:读取及运行
' h( s3 }* r" ]6 _+ e4 F 列出文件目录 % f6 y) A/ g' M: }; Y
读取
1 d8 V0 x4 w+ K- c0 ] (允许将来自父系的可继承性权限传播给对象)
/ U1 M J4 |& n8 C9 B! C! d, X- \ h.\winnt\temp:(允许访问数据库并显示在asp页面上)
4 A1 L7 U: }2 n everyone:修改 / b" V! J& g; I+ @; n8 v% T( S
(允许将来自父系的可继承性权限传播给对象) ( @5 O6 n6 q: [$ l
10.如何隐藏iis版本 - o: Y6 H& `" v
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 $ |. {. F, a: n0 f
iis存放IIS BANNER的所对应的dll文件如下:
: A; L3 |8 z8 i* Y/ J& Y( }' Y' x WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
1 u/ l4 P. x& ]; W FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
4 |, d& `/ g+ G' \- P% a SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 5 ]$ {+ F- f0 K4 X4 `
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ' g9 ]7 u' b: l$ [, |
具体过程如下: % x$ R) ~8 v( v$ c, G
1.停掉iis iisreset /stop
+ W& j( h3 n' M+ ~3 k 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
' u& @ j: a, K7 k8 h4 M 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
