|
一位高手整理的IIS FAQ
& h7 L0 t- G% t1 a5 i5 z' f下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
( s2 M* `2 L( f1.如何让asp脚本以system权限运行 9 N }) V) H: v2 N+ q6 z" w
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
( g3 D1 r2 J" G1 [5 B2.如何防止asp木马 ! Z! k4 o8 ^& @. i- M7 ~8 T
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
, P, n- d! W: t* ~7 G1 p" E regsvr32 scrrun.dll /u /s //删除
# ?: G/ B0 t7 m$ b S$ H 基于shell.application组件的asp木马 # ?: S n! }8 T) a
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
) j6 @# b" X& U9 L8 w: d' z* O% _ regsvr32 shell32.dll /u /s //删除 - v) R1 O, v7 v+ c1 z4 G9 j
3.如何加密asp文件 * ~+ v$ U$ a+ O2 c, @1 A
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 5 a. q/ \$ }0 e% e, D
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ P: {% B; N4 @0 ^. x 运行screnc - l vbscript source.asp destination.asp
3 R5 d- D0 r% z 生成包含密文ASP脚本的新文件destination.asp ) N- G3 d( ]/ }2 @2 u4 D& D
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 2 v; z$ K6 I/ r& _- O, B
但无法加密中文。 ! e! T" ^( G3 x- d) S
4.如何从IISLockdown中提取urlscan
7 N/ `2 G' h5 | iislockd.exe /q /c /t:c:\urlscan
, d) v! C$ C1 ]5.如何防止Content-Location标头暴露了web服务器的内部IP地址
/ R5 _' l* s& t' D ^0 K 执行 ' }. \0 u/ ^# X I1 y
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True . A! d, f/ b% C" `2 ^5 n. x4 r
最后需要重新启动iis
4 `' I: Q/ K N) S: u6.如何解决HTTP500内部错误
+ L! m! i( X* }) `4 H }# l iis http500内部错误大部分原因
1 C. L# @2 g0 z. l 主要是由于iwam账号的密码不同步造成的。
9 H$ g$ P" r7 U" @; { 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 $ @1 m& q& p9 E4 B$ b6 `) t. x
执行 ; U1 w5 L2 m$ L. \+ e
cscript c:\inetpub\adminscripts\synciwam.vbs -v 9 _0 C3 j! t9 C. R4 R6 h
7.如何增强iis防御SYN Flood的能力
- w4 {3 J) w* r$ v/ y Windows Registry Editor Version 5.00 x) `# v1 ^" Y! V* Z: O8 S
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
) H1 v$ S! O; ~7 l5 f) Z7 H1 q 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
; z1 d. n# P" _4 v9 @ 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
) z& ^1 e- j; T* ] "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 " h' b, W+ \; i) l6 T% R
"TcpMaxHalfOpen"=dword:00000064 , p, Z; `: w7 |1 W
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
( H: e, [; Y! i" }8 o$ | "TcpMaxHalfOpenRetried"=dword:00000050
6 K% L- G2 P/ P$ U( o 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
0 h6 L3 L/ P+ P; D. Z7 D 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
$ }1 [4 y( X! B8 j 微软站点安全推荐为2。
+ o' c; T6 F$ Y6 Y "TcpMaxConnectResponseRetransmissions"=dword:00000001
# o, u. c0 D' k 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 Z4 K0 i1 o) w m# |2 L K4 X
"TcpMaxDataRetransmissions"=dword:00000003
- v- Q5 q! y5 \1 N5 J4 ~ 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
, K/ ]1 w! j. X* |# R "TCPMaxPortsExhausted"=dword:00000005 2 v# c1 B- }* L- I3 p6 N! M
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 : k! _: W; G$ M
"DisableIPSourceRouting"=dword:0000002
! V/ x# @7 \: b- Q9 U 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: M0 Q* W$ G/ {* a- [ "TcpTimedWaitDelay"=dword:0000001e : t8 f/ A4 ]# w
8.如何避免*mdb文件被下载
& _: _9 |/ ?( U! A* w 安装ms发布的urlscan工具,可以从根本上解决这个问题。 ) G& ]% l+ A' B7 v3 S+ j
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 x4 O" C7 ^, G o$ o' y
9.如何让iis的最小ntfs权限运行
7 @5 r) l7 [3 ]% S/ N 依次做下面的工作: 6 l- Q9 x8 u( t8 H- o3 k0 i2 O
a.选取整个硬盘: $ c) M) s6 \" T# C* G
system:完全控制 4 d6 n4 S# I# y# H* s- p! M. l
administrator:完全控制
9 w0 n1 d- O' k& Z) Q; D( H8 m (允许将来自父系的可继承性权限传播给对象) ! }( U+ F4 f/ d* p; t& d
b.\program files\common files:
7 t7 S% ?5 c2 V) W% _ everyone:读取及运行
" m# ~: d, _! P: h2 V p6 a/ h 列出文件目录 3 J- w9 o+ D) z
读取 * p1 }. Z" c4 o! A9 o8 B
(允许将来自父系的可继承性权限传播给对象)
! n5 d1 f) k: y2 G7 V c.\inetpub\wwwroot: , @6 Z& g% @' _! f# J& K: t& _
iusr_machine:读取及运行
% B$ @8 `; @; l& o* {) n/ k, \ 列出文件目录
a7 T ]& c- N+ z! ~7 t 读取 & v2 L; E5 x" |0 r4 b$ ]1 s4 J
(允许将来自父系的可继承性权限传播给对象)
+ a1 e2 w/ n- H) Z, l2 O e.\winnt\system32: ( B8 X7 ?" s% W0 _7 G
选择除inetsrv和centsrv以外的所有目录,
, P+ d( u j& \! v. \ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; ~" z( q% Q+ w. v7 F. P f.\winnt:
8 k5 p/ ~+ M8 _7 S4 p% u 选择除了downloaded program files、help、iis temporary compressed files、 & m2 Z+ P8 S' n
offline web pages、system32、tasks、temp、web以外的所有目录
9 `) ]8 x! U* ^1 u& Q 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 & G. O8 U" h: y
g.\winnt:
; f' v* {# K- P! b2 `; O! }1 ? everyone:读取及运行 $ p3 b( ?$ W4 i& f9 X1 t
列出文件目录
: ~% T+ L0 j( ?4 V" q! c 读取
T# m0 W( _+ I# g6 G5 z (允许将来自父系的可继承性权限传播给对象)
& ~, d0 H0 E( s5 i h.\winnt\temp:(允许访问数据库并显示在asp页面上) 6 X6 l x$ B9 P! L/ K7 j
everyone:修改
- u: [" o- ^3 x$ d (允许将来自父系的可继承性权限传播给对象) ' a; D1 ^. q. E5 }: n4 p1 p
10.如何隐藏iis版本 ; Z; n( u4 }1 F' l
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
6 y, {' L% T/ B# D8 Z1 ~7 e iis存放IIS BANNER的所对应的dll文件如下: 7 K4 G+ H$ s9 E, M
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL / d! `& G3 Y9 L3 q
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
Z3 i) w8 j B2 \0 `; F m6 B SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 6 B9 V' \; j6 L7 l3 q) N( w4 o
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 $ q$ D# F3 l- i5 b
具体过程如下:
: u/ `, `, o$ s1 d. A 1.停掉iis iisreset /stop : ~# e% L6 H4 l4 ~( ]1 J; ~
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 8 c1 g7 p' z" k2 N6 \
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
