|
一位高手整理的IIS FAQ , j1 n% S! w1 C( o K& m- P+ Z
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
: J1 v/ b9 o3 {+ a# v1.如何让asp脚本以system权限运行 2 n+ I; D5 t" M& e
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... & E- L+ m! b. u- c9 I, ~
2.如何防止asp木马 ) _; x4 R! ?% C
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
! ~: y* A! }! n* y/ p regsvr32 scrrun.dll /u /s //删除
U/ f+ _* @# ~; r8 J' T 基于shell.application组件的asp木马
& Z! I' t4 K: w) `) K cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
0 F5 a; w4 X4 x: ?& m0 p8 n regsvr32 shell32.dll /u /s //删除
/ w7 z# f9 b0 ~7 y! x( L3.如何加密asp文件
: D8 ?. q9 O" @, d2 M' m, g9 g 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ A7 Q$ e) r8 R2 X7 r 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ) c# y" ~3 }% m
运行screnc - l vbscript source.asp destination.asp
$ ^1 d1 Z. {; F. n/ I i. \( z 生成包含密文ASP脚本的新文件destination.asp 6 f. ^& R/ f' y: n3 ~0 g' b
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
# `# K4 C6 u q8 H! x7 a* U6 k 但无法加密中文。 . ?+ U5 H/ k, {9 S
4.如何从IISLockdown中提取urlscan
2 J" f" l( S4 |% R( I4 {9 ` iislockd.exe /q /c /t:c:\urlscan
# p! L3 q0 Q7 O& L, ?/ `5.如何防止Content-Location标头暴露了web服务器的内部IP地址
) L6 F( k/ ]; n# U 执行
" ~. t4 [3 L! R6 L1 a cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
! M! U4 l# M1 P _; I& i% M6 J 最后需要重新启动iis 3 m( w' l! |# r& r3 `) s, G# o
6.如何解决HTTP500内部错误
$ }' Z) q2 Y* B" S2 i7 r iis http500内部错误大部分原因 5 i4 ]/ c4 a! N; s) Q
主要是由于iwam账号的密码不同步造成的。
5 C' n5 @. J/ I; _9 n- `5 o9 u3 e: | 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
0 ?, Y$ O% t$ V* F0 r& H3 z 执行 8 o2 R. _! L8 `1 [$ P: ~4 ]
cscript c:\inetpub\adminscripts\synciwam.vbs -v
F* M( b! f4 j7.如何增强iis防御SYN Flood的能力 & F6 Q# z" x) ]: b' E# ^ y$ M/ a! ^
Windows Registry Editor Version 5.00
* |" _ p% ?! ]( f M3 m& x# z [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
' x. E5 i2 b* q( L; r z/ R+ U 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
7 O7 @+ A- J; X- m* i: Y, p) d 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
+ y2 m, T8 Y# R$ Q "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
+ C) P( q l. n& ?. k "TcpMaxHalfOpen"=dword:00000064
0 b' I5 R) I1 H0 @6 t- D 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ; g2 u0 O+ e. D) l3 G
"TcpMaxHalfOpenRetried"=dword:00000050 $ N" k& S: G1 o, g" X
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
; w% Z/ C% _" k# F1 K 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 - p0 I" p1 u" M" q
微软站点安全推荐为2。
2 P: j% {" D+ p: I: b7 q "TcpMaxConnectResponseRetransmissions"=dword:00000001
9 F2 x4 {+ m& f0 y5 S% y. @7 ? 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
! u$ s: e; A# S8 H5 j "TcpMaxDataRetransmissions"=dword:00000003 7 e/ U4 h# _3 N# l# T
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
( ?' s2 o8 m! p5 j) { "TCPMaxPortsExhausted"=dword:00000005 2 X1 Q' E4 G8 i9 l( ^
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
0 r: i/ q( r2 B; U$ _ "DisableIPSourceRouting"=dword:0000002
) x- h/ ^6 G: I0 V# r+ w 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 2 C; Y+ R! N/ W* y
"TcpTimedWaitDelay"=dword:0000001e 9 } i/ u# A1 R# U- Q
8.如何避免*mdb文件被下载
: i. b) n* L) j6 W4 p9 F v' H 安装ms发布的urlscan工具,可以从根本上解决这个问题。
# ]! j- p) T# S: n) A& I 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 4 V6 ^/ l+ p% Z+ x }; D
9.如何让iis的最小ntfs权限运行
% K( e H g) i( N) m; \# f 依次做下面的工作:
5 _7 ]0 V0 [4 l2 D' g( W a.选取整个硬盘:
! V: B: |2 R) o system:完全控制 5 M% D; q2 i3 G$ \ Y7 I& K
administrator:完全控制 + J1 u6 A/ A6 w; C3 `
(允许将来自父系的可继承性权限传播给对象) + }6 S) v8 i: [* F, ~" v% O) c
b.\program files\common files:
2 B* m* a9 t8 |3 J8 D( M l2 |7 l everyone:读取及运行 # ?4 y. v7 K. S4 U! R2 [
列出文件目录
' |& w4 @8 U7 ? 读取
6 V( M2 y- L# x d/ w5 r (允许将来自父系的可继承性权限传播给对象)
5 q, V( R& ^" {/ r c.\inetpub\wwwroot: / J( W) V0 g3 h
iusr_machine:读取及运行
; C* A B/ u. I! u% k2 T 列出文件目录
0 z b2 W0 |0 F7 Q% D0 i7 f+ e 读取
' R6 q7 T+ ], a N- i5 H7 R (允许将来自父系的可继承性权限传播给对象)
4 `: `6 [5 x5 F) }, D e.\winnt\system32:
6 D+ B/ n* z3 V3 } 选择除inetsrv和centsrv以外的所有目录,
c+ B; z5 ^8 E" }! ~! i 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ) [% _1 j3 I. f- |
f.\winnt: . z) [& l! h3 y1 w, s; R/ w J
选择除了downloaded program files、help、iis temporary compressed files、 ; y) D: V4 X5 O' `) R/ |+ g. ?
offline web pages、system32、tasks、temp、web以外的所有目录 3 O3 F J, i/ `6 K
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 & e4 E. R1 Y8 X
g.\winnt: # v) O+ C. t' L9 C: y
everyone:读取及运行
& Z6 m! _5 ?. G: e* |: G 列出文件目录 , ]' }& `, K4 j- j. w6 B
读取
9 R* p7 R; }; z2 x; b (允许将来自父系的可继承性权限传播给对象)
& _$ E7 _$ q* d0 L1 v( _/ w h.\winnt\temp:(允许访问数据库并显示在asp页面上) 8 l4 ~# {9 R r: @. h0 u: K
everyone:修改 ; Y1 e4 k$ t2 G2 K9 m. A
(允许将来自父系的可继承性权限传播给对象) : {4 p/ H" v1 z
10.如何隐藏iis版本
6 t4 _+ W3 \* I5 B* x0 J 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 8 u: F; y* h1 `9 {/ g
iis存放IIS BANNER的所对应的dll文件如下:
% G. g( y3 R& S; B# j! o8 }9 e WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL ( }6 d; L% {) X% U1 T, C4 p
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
: P" Q: C# H* n E5 M. Z5 p0 E' v SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL ( y$ [% v0 W5 ^
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 0 _; h# f) q* X2 v2 P6 t1 t
具体过程如下: 4 U' E6 M# O% j! E* u) M/ v
1.停掉iis iisreset /stop
% J1 ^* B4 ]7 a$ X6 t 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
7 n9 a: q; j5 ~, P3 z 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
