|
一位高手整理的IIS FAQ
[5 H: v4 T: H! n下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! / [! i) o7 P8 L5 s6 h2 c
1.如何让asp脚本以system权限运行
2 T0 ]1 p+ J( _4 p 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... / P E. N9 G! H8 v. M
2.如何防止asp木马
- D; X8 F* ^" a: `- N2 ] 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 . B2 J% Y( u, c$ \ q2 n
regsvr32 scrrun.dll /u /s //删除
" M; F7 n$ J9 ^+ S( G 基于shell.application组件的asp木马 + C2 Q ~5 F. x* A1 X7 o- s
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
: Q0 Q- N+ ~5 C2 f% S regsvr32 shell32.dll /u /s //删除
9 n; \( J% `/ {5 c* s3.如何加密asp文件
: J0 c! u! o9 F0 G Z' m 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
8 J: z! T v S. z 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 # a, a2 E( y! `
运行screnc - l vbscript source.asp destination.asp
: m2 b7 A' n7 X; k( X/ h 生成包含密文ASP脚本的新文件destination.asp : b6 _! ?8 z& t5 q5 v+ G
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 . @, }) e, W! j) Z$ m
但无法加密中文。 5 N7 V& ^) D/ I! l6 Y
4.如何从IISLockdown中提取urlscan 4 q( K$ @& P7 f+ J
iislockd.exe /q /c /t:c:\urlscan
+ F) `. c1 d; _' s' W! n5.如何防止Content-Location标头暴露了web服务器的内部IP地址
# @- n- v# S; [8 h6 z 执行 4 C* _6 r( P1 z9 {
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
+ o8 w. _6 Z! M( l3 o# C$ p' z 最后需要重新启动iis
1 V0 A7 J) q8 I$ t# b+ q4 G6.如何解决HTTP500内部错误
! a# o5 }6 p+ a- b# e6 _- Q iis http500内部错误大部分原因
& j1 U# I, u: I6 G) O 主要是由于iwam账号的密码不同步造成的。 3 @' k, p9 z$ J h. k4 v4 _" f
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
+ I7 ~( r5 @$ Y" {4 o f- ` 执行 , U/ ]* t* H) K
cscript c:\inetpub\adminscripts\synciwam.vbs -v ! v& ?, _/ A. u$ w4 Z8 Z# B, H
7.如何增强iis防御SYN Flood的能力
9 n! _" X4 M4 I7 F( i! C, z Windows Registry Editor Version 5.00 4 |! ]; c& `' |) T/ J, h, m
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 8 @+ S4 q. a# t
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
8 i2 X7 Y& x& M9 a! Y# K+ \1 X 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
% P/ V; p8 H4 m "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ' W* U) k) _2 _. f- R
"TcpMaxHalfOpen"=dword:00000064 % k+ V& |3 k6 n2 f. a
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 1 R3 n( t7 n! j' x- v# m
"TcpMaxHalfOpenRetried"=dword:00000050
5 T. L% K' G7 L, q. O+ f3 q 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
- ?, k5 J- Z6 W7 m5 @' p 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 # K) B8 l- p1 C0 c5 C- B: |' U" Y
微软站点安全推荐为2。
; o" s) @3 n0 D) V "TcpMaxConnectResponseRetransmissions"=dword:00000001 # {) d" o+ c! v4 @6 k9 z3 g
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, l7 K- S/ Y: t "TcpMaxDataRetransmissions"=dword:00000003 $ l7 C, m# b# s3 U% i2 U; k
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 8 c7 D# N& W4 [% ^2 Z: o* P2 r
"TCPMaxPortsExhausted"=dword:00000005 3 q! l; H/ G' W
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
' z+ B7 H# a6 H: |1 R9 F "DisableIPSourceRouting"=dword:0000002 8 A6 B, h+ Q1 ~8 f0 {; ]
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 * V8 c4 ?; u3 m5 d! [: ^
"TcpTimedWaitDelay"=dword:0000001e % R7 [( j- h; d# r. v
8.如何避免*mdb文件被下载 . ^; ?: o1 E; b$ G6 m9 _
安装ms发布的urlscan工具,可以从根本上解决这个问题。
, d, J; j$ R' F0 l4 B 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) ], ` c9 U# D" a9.如何让iis的最小ntfs权限运行 - Z% j) X- \1 ?1 T6 [( ~1 T( r
依次做下面的工作: & u* U, M; Y* V5 `2 Z2 R
a.选取整个硬盘:
. e: I+ J& E8 I8 n+ \& S system:完全控制 5 ?* s) V( N2 v/ f0 I
administrator:完全控制
9 ^) e: K% T% a/ E (允许将来自父系的可继承性权限传播给对象)
3 T$ @5 ~- X, h3 y- H b.\program files\common files: ; r7 @" e. D4 X0 [4 I* |5 _, ?
everyone:读取及运行 P) k5 e0 H; ?3 @ t. o& K
列出文件目录
4 @* `. ~2 {; i4 D 读取
: x8 Z1 ?: x7 E0 F7 _ (允许将来自父系的可继承性权限传播给对象) / F! t7 G. G& i2 p1 `
c.\inetpub\wwwroot: 4 ?6 d; G0 N) V5 `0 \# M
iusr_machine:读取及运行
! {1 O4 D6 k' a" a* r+ H$ H$ H 列出文件目录
' j, r2 c% ]5 Q) X' p 读取 0 Z; x n; B2 P* s; a9 T
(允许将来自父系的可继承性权限传播给对象) 8 I$ Z- j% z0 a8 t% ]5 y3 }
e.\winnt\system32: 9 U' v* b* V, z6 H
选择除inetsrv和centsrv以外的所有目录, $ z+ k+ s0 E9 k1 D
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
0 B Q) B/ b4 \' @ f.\winnt:
' { M) {9 L# n) P% R 选择除了downloaded program files、help、iis temporary compressed files、 % c/ [: I0 B! Q7 Q
offline web pages、system32、tasks、temp、web以外的所有目录
) T' N; n. i6 t/ s 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 X2 Q4 `! w+ u# o: h4 G: s! n+ f' C g.\winnt: ) I8 R: i; T& i5 \. r' P
everyone:读取及运行
6 h% d7 g* S1 ^. n 列出文件目录
) @5 \- F5 K7 d; r: b2 T 读取
1 d$ ]- n1 h v0 n( k. b2 X (允许将来自父系的可继承性权限传播给对象) : i- x- u. t$ ] k
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
6 d; S1 l- ?8 w! x everyone:修改 9 ^# l+ U8 z4 C7 F4 [
(允许将来自父系的可继承性权限传播给对象) ! k9 g7 ^, p; W% O! M- f
10.如何隐藏iis版本
. e1 W. d1 q4 O 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
9 ] u2 r6 Z6 h* Q iis存放IIS BANNER的所对应的dll文件如下: ; P" a! Z) h2 j
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL . l t s$ q) V# I: d, ?
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL * N1 p C+ d) p
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
+ I) L% `. J% e6 O 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 / a- I5 v- m# u9 Z1 Z9 Y9 {# @1 y
具体过程如下: . e1 ]4 Y2 V1 x: W
1.停掉iis iisreset /stop ' Z/ t/ N/ Y( t7 _: {( M1 \
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
* ~* |8 G. o2 u9 s: @1 c 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
