老秘网_材夜思范文

标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ [打印本页]
作者: 中国老秘    时间: 2010-5-10 17:00
标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

一位高手整理的IIS FAQ

. L' t3 ^8 h; ]( Q, [! _) [5 l* t

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

5 V9 `: O. M" O

1.如何让asp脚本以system权限运行

; f3 c4 e* o8 n' h; Y* r

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

+ r( ?% ^9 D4 h; x% N

2.如何防止asp木马

) ~9 V0 W2 M. [# U

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

8 i) H; y/ } _* L

  regsvr32 scrrun.dll /u /s //删除

8 Y' ^" y2 L8 R9 H6 o

  基于shell.application组件的asp木马

' k- h: u7 A' _; ~! C+ C& ]

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

" i- J t {: r6 v

  regsvr32 shell32.dll /u /s //删除

( @$ O: s) J: c$ E3 Y$ _/ ` x) x

3.如何加密asp文件

2 P5 {9 n3 U! H1 [3 Y8 ]7 E0 P

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

+ O" I) t* l8 U0 k! Q

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

5 v l' f# [5 [2 i6 W+ K$ J; h

  运行screnc - l vbscript source.asp destination.asp

6 y) `4 G" @ y1 C; g: g+ `: C

  生成包含密文ASP脚本的新文件destination.asp

% ]% `+ e7 |$ e# k5 X! H, z

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

, Q2 J1 O8 x7 v U! i

  但无法加密中文。

, m: P. T( T8 R/ f% b6 O7 l

4.如何从IISLockdown中提取urlscan

* [5 b6 b, |% `

  iislockd.exe /q /c /t:c:\urlscan

- N3 ~' E+ E# R* ~( }

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

2 h' S2 C/ I" ^& Y4 p3 D

  执行

9 o$ \2 e) F8 y4 L# w- p) P. f1 e

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

/ I- P: v. c8 d9 M

  最后需要重新启动iis

1 R" s' U w# F1 O* I

6.如何解决HTTP500内部错误

1 X: z' ~& K6 \, u/ z

  iis http500内部错误大部分原因

i3 _4 E) j6 Q

  主要是由于iwam账号的密码不同步造成的。

. [+ A. ^# t7 B6 K& ^# U5 }, u

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

u% k4 O4 O7 Z% } t. t

  执行

" \, P9 V+ Y* X# {/ N

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

& \* L8 g2 w* r9 ^ U

7.如何增强iis防御SYN Flood的能力

3 v* Z- W+ I$ q4 i4 e+ h" ]

  Windows Registry Editor Version 5.00

+ h* C7 v( E. y1 y4 [1 P

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

2 G: {! N7 c3 n) v, [

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

: N& t& y3 @# q, ]

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

" J, Q2 W* z8 u3 F% W6 Y

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

" B, X( b0 ]6 ~4 p( H$ S2 |* H8 `7 b

  "TcpMaxHalfOpen"=dword:00000064

; N/ q4 h+ c5 I0 A$ ^

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

# i' K8 }+ P- g) T$ e9 l

  "TcpMaxHalfOpenRetried"=dword:00000050

) x0 v, M# I9 l- O) _/ N

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

: a( D6 k( o( M4 w

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

4 Q4 w( P3 E4 h0 Q. H, ~0 `; F

  微软站点安全推荐为2。

! \) s$ c6 x# |. {% t/ G

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

2 }* ]. z; U3 N! Y8 F1 V) v

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

: w5 n) Y( Y! C; I/ U. e

  "TcpMaxDataRetransmissions"=dword:00000003

- j# `/ u7 y% o

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

" `( k$ i# o* w0 B7 @$ ?

  "TCPMaxPortsExhausted"=dword:00000005

+ K" e- T/ D8 g6 X0 F9 l( V

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

2 q3 C# [2 U2 k& u! ?

  "DisableIPSourceRouting"=dword:0000002

! _/ K% M. | b! O/ ^

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

$ ?/ e. B R& J6 |( j h0 N8 v9 u3 X

  "TcpTimedWaitDelay"=dword:0000001e

; Z* ?+ ~! K2 S% f) |3 s9 E

8.如何避免*mdb文件被下载

, m. S/ y) y) `; A! x7 Y

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

) d& Q( T' C U7 f% a* J: c0 N/ n

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

" |4 {& N+ }/ o" g

9.如何让iis的最小ntfs权限运行

: e! R/ I% {2 U! B% f: k

  依次做下面的工作:

5 _5 c2 J0 O) ^! @) m( h3 p, l5 Z

  a.选取整个硬盘:

6 h" R3 t, M1 D/ n; C) f

  system:完全控制

7 A. F: |2 X6 o- d2 N

  administrator:完全控制

# I# p. c$ ~& \6 h1 t* u0 J; a

  (允许将来自父系的可继承性权限传播给对象)

2 A- S; l E* L8 I

  b.\program files\common files:

. r8 A' w8 J ?+ q9 f0 e

  everyone:读取及运行

: e' w! {# G/ D' P2 w

  列出文件目录

" V+ H4 m! ~4 l

  读取

( w" @' t+ P8 B4 c

  (允许将来自父系的可继承性权限传播给对象)

& U m0 c M# f/ U4 O

  c.\inetpub\wwwroot:

9 g5 u H& {3 ^8 `% Q

  iusr_machine:读取及运行

3 C c" m' T1 l" ?0 W* D; _! l

  列出文件目录

C% \, t# w& r( B; T3 u

  读取

" H) _9 A E4 A: g- K3 o: s& ]

  (允许将来自父系的可继承性权限传播给对象)

5 z9 e2 S& B/ ]" {" ~

  e.\winnt\system32:

4 B) D, S9 f- ]8 l/ J9 `

  选择除inetsrv和centsrv以外的所有目录,

" P. y% j- z- Q3 o s6 E; g( o

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

; v: Z; n4 Q. }, ~5 k; l

  f.\winnt:

. M4 a1 Q) C2 t Q- u

  选择除了downloaded program files、help、iis temporary compressed files、

; R5 z( D6 Q. T: O1 z- }

  offline web pages、system32、tasks、temp、web以外的所有目录

# [( k+ J6 U5 p% S# }# R- u/ d

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

3 M4 e( y1 Z" s2 O- o

  g.\winnt:

( s1 y0 @; k5 ]( T. D* _/ q

  everyone:读取及运行

3 E# u& m0 |' s

  列出文件目录

* w2 C" B- v! G5 \1 x

  读取

7 v% |& w+ Q4 w

  (允许将来自父系的可继承性权限传播给对象)

- E3 a) e1 ?& P

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

8 x9 a, B6 ^, X G3 p

  everyone:修改

* Q- L) d; Z# ]- Z3 K ]

  (允许将来自父系的可继承性权限传播给对象)

8 b" q7 ]9 V4 u5 k2 X! p1 w

10.如何隐藏iis版本

' P. M) d2 Z7 X

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

n/ G! G/ M3 F1 O

  iis存放IIS BANNER的所对应的dll文件如下:

' \: t4 w, D4 a4 m

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

$ n4 K+ Y3 e, F, H# Z

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

& w) L( F" R. G/ T" t! m; Q( r( R

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

$ j6 A8 U; g; O2 S' Q$ U/ |

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

, s8 a( ~! }4 ]2 k# j

  具体过程如下:

3 n8 E) Z6 x( S7 ]6 E' U

  1.停掉iis iisreset /stop

1 R, {+ q5 D* h

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

) ]5 w8 |$ j: t6 ]) s; i8 {* }

  3.修改





欢迎光临 老秘网_材夜思范文 (http://www.laomiw.com/) Powered by Discuz! X3.4