|
一位高手整理的IIS FAQ . e6 c4 N) c6 e. N5 C, O
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
, q/ k) c8 D- l( v8 Q' _8 z$ k1.如何让asp脚本以system权限运行
8 V" v$ X- x7 ^' ? 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
+ i- t) E( u: X1 J2.如何防止asp木马 : G% ]3 u6 ^# j x9 s7 q* H
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 2 v+ Q; f/ j% l0 w' u/ k
regsvr32 scrrun.dll /u /s //删除 " Z5 p, ^ C0 @. t6 ]' ?+ N/ F
基于shell.application组件的asp木马 1 H# m1 S* u. w& n U. a
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 3 |. P6 T( Z; i. c9 j
regsvr32 shell32.dll /u /s //删除 , W+ _% m; ` Y3 H
3.如何加密asp文件 3 }$ b3 J3 b9 s9 F! W
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 1 u1 |! r, W( r$ C y
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 / n, q0 V z1 U/ l
运行screnc - l vbscript source.asp destination.asp * ?4 V( r4 N: V1 Q1 A7 G
生成包含密文ASP脚本的新文件destination.asp / _9 o4 ~& l) Y) l m- v0 x
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
9 d/ p" i& N) C! P9 x 但无法加密中文。
3 J# F/ t; L Z/ \# y4.如何从IISLockdown中提取urlscan # q" L7 p6 P$ B) L! j
iislockd.exe /q /c /t:c:\urlscan
! J" f' v* Y+ g5.如何防止Content-Location标头暴露了web服务器的内部IP地址 ; v! N2 X( {1 l: Y, y8 i
执行
+ \: m' X6 R5 W9 r) u$ B9 b$ E cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
$ a2 q& w, [7 I3 N( _0 g3 b+ y 最后需要重新启动iis 1 k# ]) Q* L3 h! b' t
6.如何解决HTTP500内部错误 , h+ `* m* S* `& B& P( w
iis http500内部错误大部分原因
. \# y/ D9 @. k3 c* h 主要是由于iwam账号的密码不同步造成的。 4 V6 z/ W7 G; n7 U
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 * }$ w7 ?8 a6 h3 X
执行
5 J7 z% p6 W% g+ L: ` cscript c:\inetpub\adminscripts\synciwam.vbs -v % I& n# b; _1 w
7.如何增强iis防御SYN Flood的能力
5 b; r3 ]3 Q( S% B Windows Registry Editor Version 5.00 $ L$ q) W! H- z% u4 T- _1 z- X
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
+ s& P, {3 H W7 Z 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
8 r6 V2 w* D, P7 J+ M3 J 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
! }: o* ]2 }# J, \2 ]3 W "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ' x/ D: n! z1 o( o4 ~: `; K3 ]# [
"TcpMaxHalfOpen"=dword:00000064 . |. U4 A3 L7 G2 b3 A
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ' F& G/ k! L# O% R' e% _! Q
"TcpMaxHalfOpenRetried"=dword:00000050
H. D- b6 e" {) @ 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( G! r* ]* D6 u$ f 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 . @' i$ D+ B: N+ x. Q, G
微软站点安全推荐为2。 7 u) E6 ?- k, M8 S! K& H Y# ^" K% o
"TcpMaxConnectResponseRetransmissions"=dword:00000001
% d4 E( y: G3 y. Z 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
3 D; V6 i+ c% x6 ? "TcpMaxDataRetransmissions"=dword:00000003 : t( t/ j% d R% Z
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
) ~& n8 v3 g8 u K/ |% G0 Y( c; h "TCPMaxPortsExhausted"=dword:00000005 , B3 b: W: _5 l) I) u+ T
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 - p' }1 t ~9 I' v$ k* {
"DisableIPSourceRouting"=dword:0000002 # F" b5 O2 b }" F5 M4 w1 m
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 , _# ^3 q, x1 _; c U
"TcpTimedWaitDelay"=dword:0000001e ' o3 X& L0 ^2 \* O" h6 c/ A
8.如何避免*mdb文件被下载
2 x! R1 P; v3 Z 安装ms发布的urlscan工具,可以从根本上解决这个问题。
- l6 v( ~8 v$ j G @! X7 Q$ f 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
, u6 J- f, s7 l6 ^( Z* e9.如何让iis的最小ntfs权限运行 7 _8 Q1 O: N8 l, H
依次做下面的工作: ) P% v. s; F2 h
a.选取整个硬盘:
: @8 y/ ?+ }* X* r; C. | system:完全控制
) r9 r- m& ~/ @& o% c7 A administrator:完全控制 # {7 X- J% r2 U r2 f$ M+ p
(允许将来自父系的可继承性权限传播给对象) , `9 m- v% W' F! I/ N
b.\program files\common files: 4 S7 w1 ?& }/ i* X, [6 ?# k
everyone:读取及运行 " ^+ k3 \4 |) \- Z* t7 Q! K7 Y) E
列出文件目录 $ g5 N4 M5 l* b9 n
读取 R. ]6 B+ ]0 P5 r
(允许将来自父系的可继承性权限传播给对象)
8 c8 k' I: {; E5 z. u c.\inetpub\wwwroot:
c; e9 V0 s0 t( i# D2 p5 Y. k4 H3 i iusr_machine:读取及运行
2 }# ]/ }0 S9 B$ q& A$ Q( e 列出文件目录
5 X0 w, C1 A% n" f f 读取
. g+ O$ }7 \+ H, z2 s5 O5 O (允许将来自父系的可继承性权限传播给对象) ( y. h3 L$ i1 x6 _6 a0 i! c
e.\winnt\system32:
3 o0 Y2 \1 y& {1 Y# N& s 选择除inetsrv和centsrv以外的所有目录,
; s. C# o; l- S; S" y' d ^! { 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 # q" x3 g* {) C
f.\winnt: ) J/ R, R$ G* v0 T8 t( Y
选择除了downloaded program files、help、iis temporary compressed files、 + H+ L( S# Y" X- L0 u) i
offline web pages、system32、tasks、temp、web以外的所有目录 # S+ ^/ w# \% |" ^
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ; _( j; [+ i$ ?
g.\winnt:
" h1 f+ t7 m9 _, d$ ]- M everyone:读取及运行
. K- I& ^8 R' f. z6 y 列出文件目录
( p- j2 i7 z% m' ]# v9 p& q4 ^ 读取
5 i1 f/ g# X0 k1 S* K# y (允许将来自父系的可继承性权限传播给对象) % C# c1 m! I, \! G, y
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
2 {9 K" |" e9 l+ L everyone:修改 4 q8 t6 K0 Q: [' Q3 K9 ]
(允许将来自父系的可继承性权限传播给对象) 5 Y. V2 r2 e1 s( o2 p( N
10.如何隐藏iis版本
7 `; U. d L6 x+ } 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 0 B6 b8 `4 v/ Y, R
iis存放IIS BANNER的所对应的dll文件如下:
- @! r3 d4 R8 f: o, Q4 i. l WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL , y8 h8 t4 {: {, ~0 M! G
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
5 @5 q5 R& B% U SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
4 e( i/ e3 V/ R+ i5 S 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
( F# N, s6 M* t' A 具体过程如下: 8 ?: Y7 W1 [1 g
1.停掉iis iisreset /stop
2 Z/ b, d* C; {' ^! z 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
. [" F5 w" h+ c; k* I$ k; w% ^ 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
