老秘网_材夜思范文

标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ [打印本页]
作者: 中国老秘    时间: 2010-5-10 17:00
标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

一位高手整理的IIS FAQ

$ z% c" U9 A" r9 Z, h$ Q

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

5 `8 h8 l0 |" T' z' |( F

1.如何让asp脚本以system权限运行

- e3 ]9 j; r. c! l# K% y7 K

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

3 F# L: k7 }' _$ w# k, w) `

2.如何防止asp木马

) I5 n# \( @; n Z/ a" p

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

0 y2 b( m4 }9 v, k7 T

  regsvr32 scrrun.dll /u /s //删除

, E. q3 e. k% [; a

  基于shell.application组件的asp木马

" Z2 g5 ?! ]/ p. ?' g) h2 }

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

6 [7 r3 G$ r3 E J- \* i% w

  regsvr32 shell32.dll /u /s //删除

* t1 L1 _3 _6 d1 f! E

3.如何加密asp文件

2 I- M- v; i8 {- }) n

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

3 [: i% ~" {( s% U1 {0 P' r

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

& C) G4 @" o3 K' C4 y" ~8 H2 W

  运行screnc - l vbscript source.asp destination.asp

6 T# o D% c, A) d0 @$ Y$ J4 o

  生成包含密文ASP脚本的新文件destination.asp

5 r% L. w$ u; x) Y3 V

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

3 }% X; [ x& Q

  但无法加密中文。

7 |% ?6 [6 \3 a) b

4.如何从IISLockdown中提取urlscan

9 h0 [' O2 \* c: R) A6 G

  iislockd.exe /q /c /t:c:\urlscan

. s# e) E$ z' x+ C |6 M

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

" C& f" x+ s) n

  执行

4 e: S/ S# L: |" A

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

% {! u5 D: C# D2 F; {9 V2 d

  最后需要重新启动iis

" T7 C- k' C# P+ x8 p5 d, r% p

6.如何解决HTTP500内部错误

& B. i ^4 s( ~' u

  iis http500内部错误大部分原因

3 e+ N' a5 ~* \7 e5 h, D) Y

  主要是由于iwam账号的密码不同步造成的。

, X" G* v2 j! y, o* W

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

* o: _+ ^$ {+ n& H; \: f/ J

  执行

& i6 I3 B* u# ?- Q! j4 C. v

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

7 \* p) F1 g; x* l' p8 K3 w# G

7.如何增强iis防御SYN Flood的能力

T3 C) }, b1 x% @6 h

  Windows Registry Editor Version 5.00

+ ]3 g' @2 q+ M

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

7 t5 ]9 o. [! r+ t8 ]9 x7 [* F

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

! L2 l! o4 ^6 F- A7 |# g0 z

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

# d) W* t8 Y! v t- B

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

5 ~- @: p. ?" E

  "TcpMaxHalfOpen"=dword:00000064

' l' E4 A+ u/ S7 J/ ^8 Z3 N: n' l

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

0 B, j$ g; R, S/ V1 X2 M5 g* o% x

  "TcpMaxHalfOpenRetried"=dword:00000050

+ n# t/ a/ P* Y+ Y5 Y2 H2 m1 r+ t

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

- f/ j* \" K- I7 s

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

( K" U8 ]: l& _& j

  微软站点安全推荐为2。

2 s0 {) H. t8 J/ @

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

9 w9 |8 x* }$ F0 C$ `5 m- [$ T5 ^

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

% v* C( {* w0 ]2 \

  "TcpMaxDataRetransmissions"=dword:00000003

/ Q- K t% q' N( q% u ]

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

% c0 C7 s% `" I3 B1 m

  "TCPMaxPortsExhausted"=dword:00000005

5 Q8 o$ o" ?2 j+ q+ t

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

$ G5 _7 ~) h' S. T

  "DisableIPSourceRouting"=dword:0000002

" I( e8 m$ X/ t+ H1 A. }. c

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

0 a( q) j. w9 N" M- n

  "TcpTimedWaitDelay"=dword:0000001e

: o* U& s% Z: ?

8.如何避免*mdb文件被下载

8 _6 V9 X/ u: |3 g" L$ ]

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

( z* z( ^$ K9 d" [- o5 E2 p

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

0 }5 i# \# f( f+ Z5 a1 Y$ z: g

9.如何让iis的最小ntfs权限运行

2 P% `* }" c1 i+ R( W

  依次做下面的工作:

6 u% U3 c8 x5 W$ g0 O5 N

  a.选取整个硬盘:

0 n& s% D3 v+ }0 C6 X

  system:完全控制

* |) V$ H' ]& P: I* p, W7 J/ ]% k- ~9 e

  administrator:完全控制

) V2 t6 A2 V8 v ~

  (允许将来自父系的可继承性权限传播给对象)

) ]) O# J$ I X8 @

  b.\program files\common files:

% k. a8 J4 J1 |8 M$ c f9 z4 H

  everyone:读取及运行

# ?8 f2 S! b& `$ R

  列出文件目录

% O# A& S) x: f

  读取

3 q1 y- m. L( \* u! w

  (允许将来自父系的可继承性权限传播给对象)

6 v: W, ?8 G9 H, H- i" V' v

  c.\inetpub\wwwroot:

* s' D" R6 ]) J1 ]/ A1 }( u

  iusr_machine:读取及运行

9 o; ~# m/ R. p- Z3 \3 {; H

  列出文件目录

0 i- x) y `2 b7 ^7 Z

  读取

& a* E" K/ Z: O K3 Z

  (允许将来自父系的可继承性权限传播给对象)

; U1 D* R# w5 h, l7 O* [( M

  e.\winnt\system32:

! c& s0 r; k( e' q

  选择除inetsrv和centsrv以外的所有目录,

0 a$ |0 E4 E3 D( @, |

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

, B3 J. O' m$ h# r

  f.\winnt:

" }; n) u r, \) i8 R. k( V

  选择除了downloaded program files、help、iis temporary compressed files、

# S" m6 [2 F+ J. ~5 c

  offline web pages、system32、tasks、temp、web以外的所有目录

, P# B9 ^, J7 t5 m' ^) H& a# h

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

, m( k3 X* L, W2 s6 D

  g.\winnt:

5 w0 T% [6 A" s8 {4 J) y

  everyone:读取及运行

0 E0 S' D) F( i

  列出文件目录

" M4 X3 x: Q) _( \! V

  读取

/ q0 n2 `2 n; J5 D9 ?

  (允许将来自父系的可继承性权限传播给对象)

0 z5 B* {% T5 P" R

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

8 o+ t$ `7 |% o

  everyone:修改

6 L- ^" _3 J: I3 q- y

  (允许将来自父系的可继承性权限传播给对象)

; P" A! O* _; _4 G

10.如何隐藏iis版本

. D3 F- f; i1 Q, b4 _: b

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

, Z8 a( T; j. c3 s

  iis存放IIS BANNER的所对应的dll文件如下:

) `5 G8 }6 H' r3 q

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

. T2 I9 K! [# F) l; N

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

& A! Q' E D/ {4 W, {

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

! |* C5 t7 s7 d" D+ J+ V/ B8 f; F2 Y* p

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

+ k! z9 [: ^3 X# R

  具体过程如下:

+ j- d! p. @9 @" M5 _8 `. w4 b5 A

  1.停掉iis iisreset /stop

) h; u+ j9 J6 v

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

( B0 ^" V5 F' s& g3 @

  3.修改





欢迎光临 老秘网_材夜思范文 (http://www.laomiw.com/) Powered by Discuz! X3.4