|
一位高手整理的IIS FAQ
$ @' d. V' _5 ^; v& l! Y下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
. e6 M( T, j: v) Y1.如何让asp脚本以system权限运行
0 |6 n9 s- V$ H8 \ ?0 c6 n 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 5 `, p% `$ c7 r' f4 x
2.如何防止asp木马
7 u" `2 y0 R7 D! D/ c7 F1 m2 y 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 - Y, W {* G* f7 w) T# ^
regsvr32 scrrun.dll /u /s //删除 # b' l& C% Q, L8 ?: M7 v& T
基于shell.application组件的asp木马
0 g0 c7 N6 F, _2 r- m3 G7 H cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 2 K9 K" T, A, g$ h6 R1 o. a
regsvr32 shell32.dll /u /s //删除 * `# L$ A/ y! s! g5 V/ V* W6 j
3.如何加密asp文件 1 G, s( r& z) F7 L n
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
3 b: ]9 j- u/ l( Z' A 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
) }3 ]0 e. z& |" o 运行screnc - l vbscript source.asp destination.asp " w2 _5 O# s( O( B% ]: i- S4 |& c# A
生成包含密文ASP脚本的新文件destination.asp ; I* \) ?$ W. M5 p+ O9 G
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 " j; }- Z" S4 E* _4 q
但无法加密中文。
( v! ~6 q% A, z6 w3 @4.如何从IISLockdown中提取urlscan
2 a% P' {& i* a }' P8 E iislockd.exe /q /c /t:c:\urlscan
* v7 K; ~* s* `& \* o5.如何防止Content-Location标头暴露了web服务器的内部IP地址
6 ]: o! e$ S4 H6 _2 {8 M 执行
8 y1 R4 I5 H! m2 L2 h7 E cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 1 x- ?. `+ U, c
最后需要重新启动iis
C+ v, u A: F2 \2 B3 \: N, R6.如何解决HTTP500内部错误
5 @) b1 K5 ? ?8 Z1 K9 [ iis http500内部错误大部分原因 ; E+ c! o2 D1 Y `
主要是由于iwam账号的密码不同步造成的。 ; @5 m, }, E5 {: ]9 D9 M2 c# w
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
l# k6 {$ ]5 j 执行
* q/ A4 T) N& M4 B, H- H8 d$ w$ {! }+ Y cscript c:\inetpub\adminscripts\synciwam.vbs -v , B! n9 o; j* _& P: q0 j g% V
7.如何增强iis防御SYN Flood的能力
* s4 M- B8 Z, V: b$ C$ y# } Windows Registry Editor Version 5.00 + F* r* ~/ u2 ]& k& `
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
5 @# p/ [8 M0 T6 f+ t; u 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
/ L+ X( c \2 Q 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ) V( J) ?; o* H" E4 P. [2 X
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
2 h8 r7 \9 R, J1 ^5 c "TcpMaxHalfOpen"=dword:00000064
0 M/ K. n p, V, z( D1 O 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 + W B" M2 X* P/ I
"TcpMaxHalfOpenRetried"=dword:00000050
7 C9 I' {8 |: I1 n3 k 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 : S+ N9 [! p, V. k4 Z
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 9 n9 U; }6 w# ^! U0 t- |" ~
微软站点安全推荐为2。
9 e' t/ n1 g( b% P) K; W/ ?" Z "TcpMaxConnectResponseRetransmissions"=dword:00000001 & N! X& q% M+ ]: m9 \. e, Q# X$ ^; z
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
2 X% C# a! g; F4 r "TcpMaxDataRetransmissions"=dword:00000003
$ F% g. Y, J5 s7 L' { 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 $ ^: J* v3 T% \% @
"TCPMaxPortsExhausted"=dword:00000005 % l7 i4 c7 ~' l: |$ e6 A0 f
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 2 k/ a7 A" f9 j+ P9 P
"DisableIPSourceRouting"=dword:0000002
3 f5 L0 m) c0 J M 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
- B. K, R! Q7 z* G/ b# { m "TcpTimedWaitDelay"=dword:0000001e ) g7 G' W1 F# a5 X$ W
8.如何避免*mdb文件被下载
. y1 l' j/ f4 q, m6 r 安装ms发布的urlscan工具,可以从根本上解决这个问题。
* o# C6 z. W% A 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 g3 ~& I! Q* j1 r/ p
9.如何让iis的最小ntfs权限运行
' J( {- q; y5 Q7 {; l" { 依次做下面的工作: 1 ~% j! E+ t) o v
a.选取整个硬盘:
' u- U! d; j% V! \9 g system:完全控制 , T3 c2 W( P8 q: l
administrator:完全控制
! a7 o$ f" S' E7 x! v (允许将来自父系的可继承性权限传播给对象)
0 Q9 C3 n( D# `0 f3 x* n b.\program files\common files:
' R9 U( i( d- d everyone:读取及运行
, p7 _6 R. E' C! s9 X 列出文件目录
4 D" ~" L3 P& T7 X1 ^9 ] 读取 ! ~ A3 S9 O- b; {' a2 f5 ]. O
(允许将来自父系的可继承性权限传播给对象)
" B ]% s n: [; w1 d6 [3 o) D' t1 ? c.\inetpub\wwwroot:
3 W+ A) Q, ^6 A4 [5 | iusr_machine:读取及运行
& e9 h& D$ e5 k/ K8 d: A2 M, _ 列出文件目录 e% v; ?( L. u; ]
读取
/ {+ y" Z+ E6 r: u. t2 @ (允许将来自父系的可继承性权限传播给对象) , S% S7 ^ A5 M& P+ d
e.\winnt\system32:
( t, k. J- |0 {* |, z 选择除inetsrv和centsrv以外的所有目录,
3 T+ B+ Q% B/ g1 T( P 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( z0 p! }; f+ M$ G/ c1 g f.\winnt:
4 b. t6 G1 a, @1 W. ^4 [ 选择除了downloaded program files、help、iis temporary compressed files、
( n$ Z3 O0 R6 B% @: W5 V. k) x4 P offline web pages、system32、tasks、temp、web以外的所有目录 0 P1 _6 ~* p3 y" G
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% M' `# E( C; {) c5 l& C2 \: H g.\winnt:
7 c8 C6 Z* q$ ]" i everyone:读取及运行 : k% E: p# E8 m
列出文件目录 9 l) M% T7 [4 I( V. ?+ b
读取 " O& ^+ b9 e$ {; {2 B4 k, L* F
(允许将来自父系的可继承性权限传播给对象) ( `! e* a5 F, P3 }+ I8 x- {
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
8 |& H6 y i) t C* P everyone:修改 9 v9 |9 E( }) V4 Z& q+ s
(允许将来自父系的可继承性权限传播给对象)
# r! l; p& x5 h10.如何隐藏iis版本 0 g" d% _* x8 D( ?. Q: R; D
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
1 J" G: V6 r$ O5 d9 l iis存放IIS BANNER的所对应的dll文件如下: ' O" I) A6 F2 ? e4 y
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 9 p: {5 L* s# b7 p% X
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL # O3 s5 q* }1 F' i3 x; Y) V3 M& ?
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
; M1 r" r8 {+ T7 w 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 3 x- [( o$ }( K* F! V) y+ G
具体过程如下:
4 E9 D {7 ~7 S 1.停掉iis iisreset /stop
0 y$ I6 b; D6 G2 w# R6 Z2 m 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
3 a4 w5 q1 N9 v9 P: J! O 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
