|
一位高手整理的IIS FAQ + Z5 q& ]; J5 R+ `5 W. n
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
" Z" o/ r- u8 w4 |; @. \1.如何让asp脚本以system权限运行
5 H) r0 d$ i( z5 \ 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ' G/ q' F# \: B: X4 c
2.如何防止asp木马
9 L. T& K t+ p+ L+ W 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
/ ]$ y( Y3 R& q# X8 J regsvr32 scrrun.dll /u /s //删除 * G5 d/ `- ]- d+ q: p5 u0 i6 @
基于shell.application组件的asp木马 7 t5 D" G. }$ V
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
. r# U( U8 s# m( [& O regsvr32 shell32.dll /u /s //删除 7 L: F. P; a6 k! d& x
3.如何加密asp文件 / E2 J7 v8 y6 h9 F4 w9 _5 _
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 8 N3 M1 r. v' ]$ w
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 " Z% _: z) E1 } F4 q
运行screnc - l vbscript source.asp destination.asp / v6 B( y' Q1 N5 k; x6 `7 {
生成包含密文ASP脚本的新文件destination.asp + h# R) G$ `/ B, Y) f4 {
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 + v) s, U# L% _1 Z
但无法加密中文。 3 g. ~3 K. \6 q7 q6 l" Q
4.如何从IISLockdown中提取urlscan
' ^1 b- { n/ x+ I iislockd.exe /q /c /t:c:\urlscan 8 t; Z" k3 ^: l
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 6 h5 X8 c5 F+ n) S/ e
执行
7 B. W7 k8 U# L; u# N' | cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
7 e ]- E% d: ~* G5 P 最后需要重新启动iis 3 h+ I8 c( c0 s8 y4 v
6.如何解决HTTP500内部错误
% v. u* S$ p M, `) M7 i7 q iis http500内部错误大部分原因 $ T' F; m) }* O# v
主要是由于iwam账号的密码不同步造成的。 3 e9 W( n7 [# k6 K- z) Q9 f
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
4 {% l" l* U" ^+ n+ O: [ 执行
; p: z& t" b# J8 q: r cscript c:\inetpub\adminscripts\synciwam.vbs -v m; l4 w$ u+ m
7.如何增强iis防御SYN Flood的能力 # w8 r5 k$ T' n& F( R
Windows Registry Editor Version 5.00 * }8 Y; b5 A5 G, j! p$ `
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] $ j; j, I! A7 r0 m- u
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 + ~! V) W0 C$ Z1 A9 }
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 4 P8 g4 m u' R6 {
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 # w3 ~' Y: W, {
"TcpMaxHalfOpen"=dword:00000064 / ~; Z# e& K' U6 r2 s+ I4 v
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
) `' P8 j* U# V( J" W8 O1 } "TcpMaxHalfOpenRetried"=dword:00000050
2 I1 R5 c$ {. F( @8 y 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 n( i3 y# D6 g4 N; O
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 0 Z5 z4 h( f5 c- V; Y" K2 Z
微软站点安全推荐为2。 8 O1 Y( y- ?# O6 g% L m# d
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ! \& T; n" r2 z0 t) H: u0 `
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 " V6 _ j# N; X' D
"TcpMaxDataRetransmissions"=dword:00000003
, C' S" n+ V$ r+ H0 P/ i 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
# ~4 k5 ^3 S1 p "TCPMaxPortsExhausted"=dword:00000005
: A- q1 J) U, N& u7 C! J, K( U 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 & s( r( }9 O( V
"DisableIPSourceRouting"=dword:0000002 * s2 a% R2 U" o! I. r2 |
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 t* k/ k3 X" R "TcpTimedWaitDelay"=dword:0000001e ! ^2 T8 ^, w" Q0 b
8.如何避免*mdb文件被下载
7 m5 y9 O, s5 r* o$ {9 d 安装ms发布的urlscan工具,可以从根本上解决这个问题。
) c" o8 S" S$ { 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
5 i; e7 g& V9 R6 `3 W9.如何让iis的最小ntfs权限运行 / `/ e# z: v, W2 x! }7 I7 T
依次做下面的工作: - u7 w' C- [4 E: N- j
a.选取整个硬盘: ! D9 W4 C2 V, T/ P( N8 r1 E
system:完全控制
& y$ l% ^2 ?, e8 Q# D administrator:完全控制 2 ^ P" n, C" @0 A& a) k
(允许将来自父系的可继承性权限传播给对象) 7 P6 u$ n% K1 I8 v- u' {
b.\program files\common files: v: v: o; d3 P" v
everyone:读取及运行 ! w7 {8 j. E1 g. R% U9 U( s
列出文件目录
2 w$ p1 c1 D5 T) e 读取 8 v+ C1 T* x% s% e8 H/ p
(允许将来自父系的可继承性权限传播给对象)
9 I1 w2 w6 A5 q2 G7 p8 L V c.\inetpub\wwwroot: ) E* A2 I5 o+ O- f+ }3 c
iusr_machine:读取及运行
6 `( i' h& i3 _: [) j, l2 Y2 h 列出文件目录 4 G" O1 Z$ \9 e% C) [
读取
& J- @, y7 _# H- C" {5 i (允许将来自父系的可继承性权限传播给对象) 3 J$ ?$ S8 K/ E
e.\winnt\system32: 8 o" C+ G. @% k* v$ Y
选择除inetsrv和centsrv以外的所有目录, & X2 l' F( _$ [
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* a4 t4 K0 O i7 T f.\winnt:
$ z/ p) V1 p! o* v0 h$ [ 选择除了downloaded program files、help、iis temporary compressed files、
8 Q/ T# _0 b, I F offline web pages、system32、tasks、temp、web以外的所有目录 / Q, P" @) t) ]5 x0 i* m3 m
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
- Q1 S: l4 S' M$ {9 j7 j3 h; [5 g g.\winnt:
6 j" z7 u1 Q8 C& ?4 C8 S! N everyone:读取及运行 1 `) L2 ~( a1 w; @" F1 M
列出文件目录
7 |" P2 [/ F/ d: K9 E% r6 y- E: H 读取
: ]7 @; ?* i% Y% q0 _ (允许将来自父系的可继承性权限传播给对象)
& J! |; m/ }( _: F! @, s( M% f! s$ v h.\winnt\temp:(允许访问数据库并显示在asp页面上) 8 c' g6 L" y3 H: a; y! x6 H- y
everyone:修改
( P P7 ?0 P, K (允许将来自父系的可继承性权限传播给对象)
6 e$ ], L) R* q8 h' J% T7 |6 Z3 `/ }10.如何隐藏iis版本
$ O! t9 a- m* K+ R& u 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
4 ?+ U9 b$ k' h4 @" A; o iis存放IIS BANNER的所对应的dll文件如下:
1 U/ @: h/ t& b& O. @" u WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 6 i7 W# k( ~- l7 B+ w: Z& ~
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
5 i: W0 d0 k" k* {8 I SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
+ r7 K" W m0 T 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 : f" g- R- H' I; l
具体过程如下: 2 p' |7 i0 G" ]# S) w5 x' E/ w. Q
1.停掉iis iisreset /stop 5 U* e; A2 j3 u# X- K
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 : J1 v4 e! h2 |' F
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
