|
一位高手整理的IIS FAQ ( I7 p. K$ ?0 V, g j( ]& I
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! / I! o9 K0 S8 Q- U0 Q$ z
1.如何让asp脚本以system权限运行 ; p' ~' @) `' _3 e0 m
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
9 |- ^) ^# |6 Y2.如何防止asp木马 0 f- }6 [3 `9 V$ v
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 % q" W4 d$ m( c" Z+ p
regsvr32 scrrun.dll /u /s //删除 3 W+ [: x/ e# p; |: l3 [
基于shell.application组件的asp木马 8 H/ @) o( |( R* u W! D
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 # F1 t9 X/ `) L" [+ V
regsvr32 shell32.dll /u /s //删除
" j% D: s4 H U: Q( _' T7 m& F3.如何加密asp文件
9 a2 i3 F4 V1 }* G 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
! \' q4 i! c1 D: `. s( O Y 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 . r- b$ {5 y1 t
运行screnc - l vbscript source.asp destination.asp
$ {& M* l: w; O 生成包含密文ASP脚本的新文件destination.asp
6 s/ x) ^7 ~8 ^& ?$ L" i) p | 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 9 z$ v' P: z* _
但无法加密中文。 1 x$ p* p1 ?- x$ C
4.如何从IISLockdown中提取urlscan
3 @' v) ~/ f5 z iislockd.exe /q /c /t:c:\urlscan 2 R0 v- Z1 ]3 ]4 a W
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
, F1 m( q* b) Q- c( v i0 q- J 执行 9 M/ h; ^& ?8 P+ c
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True ' ~8 k6 \; j9 s( ~) J$ i6 d# h
最后需要重新启动iis
+ F. i* V# [' c8 j# Q4 U0 G! C6.如何解决HTTP500内部错误 & a& N' I6 J6 L6 c% O1 ]
iis http500内部错误大部分原因
" H) V8 K5 N( J1 J4 { ]6 Q5 ` 主要是由于iwam账号的密码不同步造成的。
* A8 Y* T6 H3 M7 c/ a/ w0 R 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 ; ^& s; A: ?# ]6 U* o- ^
执行
: d/ C' F/ J* a9 Z. j" n% C cscript c:\inetpub\adminscripts\synciwam.vbs -v
x- h: R( Z& G& w7.如何增强iis防御SYN Flood的能力
3 {3 p! l( Y0 f, {# Q- J Windows Registry Editor Version 5.00 - d; c+ r+ M# x& Z' H6 j
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] $ J* X/ r. u% T" c+ ^# g4 Q& [
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
3 t4 v) T8 a/ a; v, V! v4 L+ H 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 3 d3 R/ e( w% e5 _5 l
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 4 T, q$ a5 @2 c5 i; k# f. K( P
"TcpMaxHalfOpen"=dword:00000064 , G3 B, B8 b1 a3 e) l+ C6 e9 h' F2 u
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 + [9 m2 M/ u0 N6 n; e3 [2 w/ s
"TcpMaxHalfOpenRetried"=dword:00000050
4 K5 C* x. K; s2 \4 h& c 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
, x# m2 ~ B& t# u3 ~/ R 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 . C$ w& W; a- v
微软站点安全推荐为2。 7 E; F0 C. R4 i6 h2 u; w6 i
"TcpMaxConnectResponseRetransmissions"=dword:00000001 , {- [, h# j1 L/ o+ W1 \2 C6 e
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, v' N* Y8 `1 x- u9 B: S "TcpMaxDataRetransmissions"=dword:00000003 * e" e$ N5 c: l
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
3 E( n# ~8 G. S( Q/ J" Y# | "TCPMaxPortsExhausted"=dword:00000005 - q( x1 I# a6 b) T0 p7 e
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
% ~, R6 e+ v. x8 N "DisableIPSourceRouting"=dword:0000002
4 U3 T1 x0 }8 K$ b 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
2 z% n- N5 g+ T$ h: [ "TcpTimedWaitDelay"=dword:0000001e
. D" p j) D& j; g& t! r: y" u' V% z8.如何避免*mdb文件被下载
V: k! l6 K1 @$ a) w! | 安装ms发布的urlscan工具,可以从根本上解决这个问题。
& d& i& {) x6 C4 H 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
/ l/ l5 d. Q) x/ P n9.如何让iis的最小ntfs权限运行
7 k: v: Y1 K: p 依次做下面的工作: : m) [: U# ]# m/ F6 \! [
a.选取整个硬盘: " Q4 x2 Q5 A. d, F x0 E
system:完全控制
% \2 v, C* O/ f5 K% M administrator:完全控制
- H0 m) d- F- V (允许将来自父系的可继承性权限传播给对象)
. {+ e# a4 W6 D" z+ n1 B' F, p6 V b.\program files\common files: ) |- D( \' v# @
everyone:读取及运行
8 m) D9 j7 u a 列出文件目录
8 \9 [8 m; a: Y* [& U 读取 " x: L; ]9 A2 I& x; ?5 e/ s. J
(允许将来自父系的可继承性权限传播给对象)
. s' E: u* K. P5 I% ~# C9 ? c.\inetpub\wwwroot:
, r% N3 S& x. v. S; n iusr_machine:读取及运行
$ w% B, |3 z. a. H: D) a 列出文件目录 , ]" g8 s c) T8 C* I* a9 c! c
读取
! y0 L; C( [- z4 c ^ `7 } (允许将来自父系的可继承性权限传播给对象)
# H+ Z$ l5 f) k* T k e.\winnt\system32: ! Z$ Z1 ]' |! ^' x% Z5 ?5 j9 C
选择除inetsrv和centsrv以外的所有目录, - u( k7 G1 S: s1 o1 T' R
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ m5 Z( C3 p: z9 S f.\winnt: ! u/ g k- l$ c' D: x, L
选择除了downloaded program files、help、iis temporary compressed files、
- c+ n5 W9 v5 m offline web pages、system32、tasks、temp、web以外的所有目录
. ], J( a5 A2 N2 \* D' u) j 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' z! q9 i. Q# R2 p8 _/ m1 L" x! \ g.\winnt:
, w" ]1 m, U: `% X1 D0 k' ?' B, {/ g everyone:读取及运行
+ e' p q% M$ P# s+ W( N4 D 列出文件目录 0 V. E$ i* Y: U9 Y6 {2 }
读取 + ^* V% k* T3 B- e- w
(允许将来自父系的可继承性权限传播给对象)
9 Z. z- @! ?. }6 ]1 l h.\winnt\temp:(允许访问数据库并显示在asp页面上) ; F0 O4 u& e% l. T' W& T
everyone:修改
+ `7 B- G7 ~: L$ N2 e6 A, d$ C1 f (允许将来自父系的可继承性权限传播给对象) % O( t1 b+ z1 F; i3 q! D0 s
10.如何隐藏iis版本 9 Z6 I! `9 A/ t$ v, H
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 9 l* K1 b6 j" S5 T$ b6 _5 D% T% u. l5 |
iis存放IIS BANNER的所对应的dll文件如下:
* l& r8 N2 J. W" l7 s8 ] WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
! `9 l: S7 O. v. }) d0 ~8 U FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ! V7 U8 ]3 r; j
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
4 \0 n3 P; ], w: I0 S0 S* @ 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
" t' A' |% B) n. b: o1 K 具体过程如下: 4 s, e; ~: G8 r4 Q
1.停掉iis iisreset /stop , v& }1 {6 O Z" K3 J& T% K5 u
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
" F* w! Z% i7 T! c2 ]: W- ^ 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
