|
一位高手整理的IIS FAQ
7 ]* r/ ^+ c$ E5 @下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 3 ]# R" i" q- y" Z
1.如何让asp脚本以system权限运行 , B! d( o+ @+ z0 Z0 A
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... : j: F- B. t! X/ m# i U
2.如何防止asp木马 1 F/ |8 H& T9 K8 B2 I) k
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 + P) C+ p) E: O1 Y
regsvr32 scrrun.dll /u /s //删除
3 E" l) F; Y- U 基于shell.application组件的asp木马
4 x& f* |6 N' U7 A. a3 l cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 * X3 b/ k" n; f" s* a
regsvr32 shell32.dll /u /s //删除 3 i0 G. _. P; ~0 U' u5 p
3.如何加密asp文件 ; A, X) @% w S
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
! {1 _3 i0 R2 A7 p8 S7 h 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 6 k- V {+ c0 Z e; O7 D& W
运行screnc - l vbscript source.asp destination.asp
. P0 {7 l& s' Z 生成包含密文ASP脚本的新文件destination.asp $ }, H" A I8 O5 X' O# v7 G
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 4 Q0 N) A8 [" y
但无法加密中文。 / J, }6 E3 {- Q9 D$ }# i
4.如何从IISLockdown中提取urlscan # O% w, F8 }( L) k. p
iislockd.exe /q /c /t:c:\urlscan
$ w6 j" R- M/ a8 x- y0 z% \5.如何防止Content-Location标头暴露了web服务器的内部IP地址
9 c; d' y, d+ ]) Z& M 执行 5 i" Y0 K8 Q) M& s" Q$ R2 p
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True # k' N8 b3 }3 R& L
最后需要重新启动iis
1 ~7 v6 Q* a1 A( [( ^6.如何解决HTTP500内部错误
8 \ w- E' i5 |& f! y iis http500内部错误大部分原因 ' R* e( Q) R' d$ w: L- [
主要是由于iwam账号的密码不同步造成的。 7 c" u% z/ E$ L) b- [! w# \2 j
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" E% l0 X( J1 Z4 x 执行 5 H& Z' N) R7 D, D* y
cscript c:\inetpub\adminscripts\synciwam.vbs -v
6 i2 g V7 }* `% l7 ^7.如何增强iis防御SYN Flood的能力
. _; Y2 P% Q% U5 v6 a+ I, w* W Windows Registry Editor Version 5.00 ! y% H; S7 C5 o9 X
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ' i1 }- G% F$ @, u' _* X! s
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 4 [4 t7 ?) U5 {5 ~( ?1 \
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
; e5 f& G4 S9 K5 f "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
5 d' V$ Z! P7 K8 f7 H2 d$ p "TcpMaxHalfOpen"=dword:00000064 / L+ |% w9 {- ^
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
- E" M" U* Y& s) L7 p "TcpMaxHalfOpenRetried"=dword:00000050 + z5 H5 y3 W: \# H: O
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
; u1 K2 o- u. Z. Y6 e! _& P1 o 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 % e; X. U H, N$ F. b
微软站点安全推荐为2。 ) o) x6 p& |% O/ n# q
"TcpMaxConnectResponseRetransmissions"=dword:00000001
; F+ W5 d! [& G% [8 R% H 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ! J7 C- A6 x. L" [1 M. W2 Z
"TcpMaxDataRetransmissions"=dword:00000003
& G8 v. F( y: R8 l 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 & ? h1 i/ C- c- U$ k/ M% H
"TCPMaxPortsExhausted"=dword:00000005 # k$ D* Z8 Y% w+ r- D) H
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
, {+ h- D9 {9 j: \* o "DisableIPSourceRouting"=dword:0000002
5 i& f2 K' {# o) ^3 `4 A 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
% C: }; b4 |; z+ k% q "TcpTimedWaitDelay"=dword:0000001e
2 s, J* [$ {5 E$ A n- Q8.如何避免*mdb文件被下载 ' Q! a% o' C* m4 x( R9 E
安装ms发布的urlscan工具,可以从根本上解决这个问题。
# v; g. c7 b7 d) e3 E8 l5 L 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
! J* h6 \5 p3 }( X# U$ l0 u9.如何让iis的最小ntfs权限运行
W- f1 p* K. z, s6 }" K 依次做下面的工作: 8 z# b# F [9 X& j3 s
a.选取整个硬盘: % Y( ?4 j8 M' ]5 |
system:完全控制
8 t- e% t" T$ K# G, o0 f administrator:完全控制 4 H1 g, b% T9 l! h
(允许将来自父系的可继承性权限传播给对象)
8 t8 t% Z6 D% x h: z3 C5 o b.\program files\common files: # n( G6 R3 G7 K' n" r: H
everyone:读取及运行
( t4 p, O; T# c" }- `' e1 w 列出文件目录
; w7 l, `! u$ \* u$ ^1 q0 F" B 读取 , T- a1 t' u' p
(允许将来自父系的可继承性权限传播给对象) 5 G. ~9 M* K7 E# P. `
c.\inetpub\wwwroot: " _' x* {( A( \
iusr_machine:读取及运行 s& B& R* g7 D9 Y! B) l. q
列出文件目录 7 ]+ a$ j' U. e* {0 v
读取 0 z' k s U% T
(允许将来自父系的可继承性权限传播给对象)
+ m% w2 w7 L. T c6 T e.\winnt\system32:
3 t/ K/ m) `2 b$ x 选择除inetsrv和centsrv以外的所有目录, 3 W8 F6 q7 q, M. \" H. H
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 . v, n+ R7 [! ]" y k. n
f.\winnt:
5 g7 {! P5 p+ X5 d( ?9 T 选择除了downloaded program files、help、iis temporary compressed files、
$ G' i( \2 z7 f; A+ r# y$ b offline web pages、system32、tasks、temp、web以外的所有目录 z3 x4 m+ R8 t- u/ ~( T% i* |1 H/ I
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! |/ j) d% `' P g.\winnt: * ^, l9 K0 G: |$ E4 Y# y" ~
everyone:读取及运行
; j# a1 K. v5 O2 U: _$ f# c5 T8 d 列出文件目录 " `; ^8 H+ x; ^
读取
/ l4 r! s6 Y( g9 w0 G. |3 {" @* r$ R (允许将来自父系的可继承性权限传播给对象) ( K/ W, x z" w* R, j
h.\winnt\temp:(允许访问数据库并显示在asp页面上) ' ^" `' H+ h! ]
everyone:修改 0 F+ X! ~3 N3 k% e$ N2 Q
(允许将来自父系的可继承性权限传播给对象)
* q' U; O q/ r- G6 ]7 ?# i10.如何隐藏iis版本 + Z, S( [4 k. [" S- ]; x1 h
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 & d! S# P" Y' u; ^0 @
iis存放IIS BANNER的所对应的dll文件如下:
% L! ^* Z/ |. K- f9 V' E$ ~8 I" k1 h WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 7 J. S! ^, }+ U7 V5 e
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
4 R- j0 Y* [" \7 a, M0 i9 Z+ F( F SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
/ g( ^2 C6 }+ Q 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 , W5 r7 t1 |4 f
具体过程如下:
+ n3 O4 W% X: H* E! r# M 1.停掉iis iisreset /stop
: M) w7 y9 r% j: h; {; L1 V! {1 c 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
3 }4 o4 M' d* z, Q# z( A8 W9 G 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
