|
一位高手整理的IIS FAQ 3 h5 u7 U2 l* W) N
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 7 w, G, ^) [! Q! T* W6 H
1.如何让asp脚本以system权限运行 3 K7 o! U4 s7 {! ^
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 9 b8 V- R4 ~' e9 u* E
2.如何防止asp木马
' }: [7 |( d3 z% |3 f6 p 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
# w E3 J5 v% `0 d5 @ regsvr32 scrrun.dll /u /s //删除 8 K, F9 h( P1 H) g+ V5 E6 Z
基于shell.application组件的asp木马
* L. ]5 {% U0 R3 D- @* c cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
; o3 ^$ n6 @2 ^* P regsvr32 shell32.dll /u /s //删除
& U; d# V1 [- R& h' {4 R* o' F% \3.如何加密asp文件
; W# b; f" J& w' _, X* g 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 - r/ D; M+ Y: [
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& M: ]! J: I: q7 x1 w4 m 运行screnc - l vbscript source.asp destination.asp 7 C( t. y9 _. A$ o
生成包含密文ASP脚本的新文件destination.asp ; R8 [& C! T6 ?) i( B$ V6 I
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 0 o- v- [: P7 @: q/ V- D6 j( A2 N
但无法加密中文。
0 U4 \( _$ B: S, V6 N( x4.如何从IISLockdown中提取urlscan : `; Z9 e) E! U M
iislockd.exe /q /c /t:c:\urlscan $ S& ?/ P+ ]: l% b! A0 K
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
5 y+ D% z% u; r( v, \1 ~5 [" w 执行 : i' l4 X6 b6 }! k3 P
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
/ Q. g, U# {) S6 L; H 最后需要重新启动iis
6 \0 G9 @* C7 Q: W4 h* ~6.如何解决HTTP500内部错误
# V2 q- q# A/ { iis http500内部错误大部分原因
* S) { y* q1 i. C 主要是由于iwam账号的密码不同步造成的。 + ^4 W$ s, v5 U! j* e
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
/ i, t, s$ H( ]* [: A* Y 执行
- u* ~2 J1 @) X* {) s cscript c:\inetpub\adminscripts\synciwam.vbs -v / N# M# V" k! j2 M k. K0 P
7.如何增强iis防御SYN Flood的能力 , d9 s, ], f/ [* j
Windows Registry Editor Version 5.00 & O+ c2 N9 f7 F4 }" y [0 I
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
& L9 g; A) T1 d+ j/ w& k U 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
6 [. ]; n7 [6 x 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 9 O& c/ `5 P3 Z. j
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 - I( }+ l% N) t6 f
"TcpMaxHalfOpen"=dword:00000064
- E* R/ a, @( p7 m 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
% B4 A# }" f4 a7 i( U7 P( A "TcpMaxHalfOpenRetried"=dword:00000050 % _; ~7 h% |! P9 s5 N! R q
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 8 o, k; I* }* z& Z F0 B9 b# E& d- O
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
1 ^( O6 ?# Q2 b4 E& D5 T 微软站点安全推荐为2。
- I2 ^( W2 I( X5 O "TcpMaxConnectResponseRetransmissions"=dword:00000001 7 q& g. d3 L3 @+ B* S) }- r
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 # f+ U+ L; Y, j; h7 D! t1 E! I
"TcpMaxDataRetransmissions"=dword:00000003 $ p. l4 h7 @0 J8 Q) n& o
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 . L& R, _, v% w) o4 `( S9 q; ?; R8 e$ [
"TCPMaxPortsExhausted"=dword:00000005
5 K$ K( y! I1 h5 b2 ?* T 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 # u0 U$ @: g* ^# b# [
"DisableIPSourceRouting"=dword:0000002 - ?8 N! J# P/ ^% Z3 t, i
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
+ Z' ^; }( y9 o1 p: K2 p5 f) c1 K "TcpTimedWaitDelay"=dword:0000001e
5 F* }8 O7 T- I1 ]4 U$ a3 g8.如何避免*mdb文件被下载 ' }2 a! Y$ Q# ]3 f4 g' c
安装ms发布的urlscan工具,可以从根本上解决这个问题。 + I F! j* b' z3 j
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
; t# @7 Z* w" d/ ~9.如何让iis的最小ntfs权限运行
# r+ b: o, B* C3 I2 U 依次做下面的工作: 7 i, T' G' F% t, y, _5 ]2 F4 f) N
a.选取整个硬盘:
0 U7 g s3 q7 q/ J system:完全控制 " @. x, w4 I0 r. x- H# V# @
administrator:完全控制
& a+ _9 b( @) y0 _; ] (允许将来自父系的可继承性权限传播给对象)
8 _9 R3 W6 d* A b.\program files\common files: . u0 s& C5 f. \' Y9 S
everyone:读取及运行
8 r% v* U2 }/ {/ w5 y7 b; x8 z 列出文件目录
# N- C* W; d; z3 M, i( E# j 读取
! G( s7 f7 e# ]! e% L# i (允许将来自父系的可继承性权限传播给对象) $ x4 C5 _ Z+ |! O2 j
c.\inetpub\wwwroot:
: v4 _" M, t. C2 K( |& B iusr_machine:读取及运行
' O; ~/ a( w- \/ x 列出文件目录
. W4 l* J( d* W( B/ r8 Q 读取
, G7 b7 ?4 s1 Q" p) P (允许将来自父系的可继承性权限传播给对象) ; d3 g) g5 I% } D
e.\winnt\system32:
$ c- z$ Z4 q- F% l 选择除inetsrv和centsrv以外的所有目录,
8 u1 x8 x# ?, v+ @1 L4 U# J 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 0 | d3 Y! G4 m7 j4 Y
f.\winnt: # k6 Q+ Q- y6 _7 v9 ]0 o: p- t% Y
选择除了downloaded program files、help、iis temporary compressed files、
, a" }' `- a! q% K offline web pages、system32、tasks、temp、web以外的所有目录 ; d5 ]2 E6 ^+ ]$ P' K
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * o5 [; i' m Q+ V! h
g.\winnt:
; t# D5 _ u1 |' U1 H8 f everyone:读取及运行 / q5 c, ^) ]- K( j
列出文件目录 9 l+ g9 T* Z" @
读取 7 f7 Z* v* @0 ~) R- c8 n
(允许将来自父系的可继承性权限传播给对象) 5 c& d/ E8 V' Y2 B$ E) T
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
! s p" j A: p7 f7 G$ J everyone:修改 : S! m( M3 s9 P4 _/ V
(允许将来自父系的可继承性权限传播给对象)
; b& A2 b) N) ?: e% T10.如何隐藏iis版本 , g }. O5 K& G! m1 ^# z/ N
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 e) R, \) R! f" P iis存放IIS BANNER的所对应的dll文件如下:
6 i. F# A0 X1 m# k$ T* \$ \5 n WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
( D+ w* _7 f2 B5 T6 v FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
, [' K: q8 t2 g+ [1 S+ B6 v: J SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL , V' U: t: f0 A
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 # F$ u* r, B2 I. s
具体过程如下: 0 z, y V" d8 @7 s
1.停掉iis iisreset /stop
$ Q! ^% M. @% m 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
3 }. h1 i- V, A& j 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
