|
一位高手整理的IIS FAQ
# h- n+ [ j8 t3 E) j下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! * N, w9 M- |, ~/ @8 V
1.如何让asp脚本以system权限运行 1 V' n3 B- M2 e* M7 `2 x7 l0 z3 ~
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ; c1 U5 k0 B. Y# K
2.如何防止asp木马 0 ~/ Y- e3 }* L4 N
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
' f) H& Y9 s ^' J) h$ u regsvr32 scrrun.dll /u /s //删除 5 s; O5 f( n( }- Y# q2 \
基于shell.application组件的asp木马 + V4 [6 N5 t( s" f# \) S1 X2 S
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
7 ~* a+ e( Y2 F! m regsvr32 shell32.dll /u /s //删除 ) a. C1 |# J' A, l
3.如何加密asp文件 ' P6 ?6 Q9 i6 }4 G
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
# m2 G5 r6 f% B- i% X% h1 r8 j 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
2 [9 p$ k8 B' y* v' Y 运行screnc - l vbscript source.asp destination.asp
+ }" q5 y |/ b) \4 B7 j, f( C9 r 生成包含密文ASP脚本的新文件destination.asp
0 j9 T0 s; D+ w* g 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
& t- o' k7 _% a- o( L( e 但无法加密中文。 ' G4 ]5 P1 }4 ~$ I, @& F
4.如何从IISLockdown中提取urlscan , U- e$ i' o" ]0 {) o. Z. ?! D
iislockd.exe /q /c /t:c:\urlscan
! M9 V6 e9 R& r; E2 Y/ l6 [5 ]5.如何防止Content-Location标头暴露了web服务器的内部IP地址 1 \# e+ g ? l! W( g
执行 / [2 F! [2 v- L7 R2 l ?: o8 c4 ]" \
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True ! z: \% O: j+ ]. m9 R
最后需要重新启动iis 6 k$ y% ]5 A; [2 i4 a1 d) W
6.如何解决HTTP500内部错误
; R2 M% l% g1 ? iis http500内部错误大部分原因
3 f3 ^( _- h* s B+ j 主要是由于iwam账号的密码不同步造成的。
5 b) J% V) y+ h. |/ Q 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
# r' e9 L6 x3 R2 u9 ? 执行 , w- L3 r6 O/ V0 @( i
cscript c:\inetpub\adminscripts\synciwam.vbs -v 1 H0 @- S d s3 g, x/ t# m1 y/ T
7.如何增强iis防御SYN Flood的能力 $ a& k$ ^0 Y0 n6 K9 X
Windows Registry Editor Version 5.00
) S0 n/ T5 M1 A4 O/ ` [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
$ O/ i# l. Z' z& }/ J9 F) D 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
2 o$ Q# `$ U$ n4 o; P- n 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 : q# g$ D; z9 i* p- J* E3 r
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
" g+ u) W6 W2 M- y. R5 Q "TcpMaxHalfOpen"=dword:00000064
4 J- k" a4 u# ?& B# h 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 / P& O- z# E9 R7 E* f" T# x+ K
"TcpMaxHalfOpenRetried"=dword:00000050
1 i% Z6 Z+ F2 @0 V* H; }3 I+ X 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
; l$ W" }7 W% c: o; o9 z 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 % ?7 f* F8 ]1 W0 c6 H
微软站点安全推荐为2。 ! o) W! H$ b" N# `4 ]
"TcpMaxConnectResponseRetransmissions"=dword:00000001 $ v M7 `! W' \( u* N, v: N1 K
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 $ p) W/ g" N1 o7 _* E2 L6 d
"TcpMaxDataRetransmissions"=dword:00000003 9 J( Z6 I, |7 x$ e# W% x
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 3 e9 Q9 w+ _; {3 k* {
"TCPMaxPortsExhausted"=dword:00000005
' Z3 L& g- c6 ?# r- k 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
$ E/ ], D K& s5 X/ G- k* y4 z% ?: k "DisableIPSourceRouting"=dword:0000002 % {* N: I. ?- [. Z
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ! a: q0 h* a5 E8 Y3 h l5 E6 x
"TcpTimedWaitDelay"=dword:0000001e + P" }" G% w ?3 D+ X3 y# u
8.如何避免*mdb文件被下载
( B+ \) y7 O! k G 安装ms发布的urlscan工具,可以从根本上解决这个问题。
) J) \" o: V# J5 v( V. w 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
, q+ W4 N! f4 ]5 }, u% T6 t: K9.如何让iis的最小ntfs权限运行
0 \' ?: A* w* p7 C5 y 依次做下面的工作: 3 j" e; }- m& H
a.选取整个硬盘: ) o3 s. z1 M# q. O# X5 V
system:完全控制 $ J s2 H+ d, _
administrator:完全控制
+ {6 K9 n3 C* H2 g* @ (允许将来自父系的可继承性权限传播给对象) . V$ h$ o' ?* z$ D/ W4 V# w
b.\program files\common files:
2 X4 R; l. c" \" L: [9 t everyone:读取及运行 . Y* s/ e" j2 q" J! y" T- X* y! k* Z, t
列出文件目录
" C/ Z0 _6 Y# R0 ]' l 读取
* V# P7 ?. x u+ c: c1 s( l0 J* B (允许将来自父系的可继承性权限传播给对象) % Z- L8 M' r3 {7 |" v2 d
c.\inetpub\wwwroot:
j3 |6 o* j' u3 \1 a) |1 n- i6 v iusr_machine:读取及运行 |! [2 _% k% D" r+ D" z+ T
列出文件目录
+ U- k6 I) Z% V$ K) T4 M x7 [ 读取 " i0 p/ q& ]( ~" z* o
(允许将来自父系的可继承性权限传播给对象) ! _1 N% o- C! n1 h o; }- K
e.\winnt\system32:
) b/ k) {( [( i3 n6 \ 选择除inetsrv和centsrv以外的所有目录, 0 s: r! F' u: v0 Y1 y d0 w
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' K, I' a+ d& ~) {* r9 N) A f.\winnt:
" _5 X# K( N9 W5 H 选择除了downloaded program files、help、iis temporary compressed files、 9 Q2 |$ H1 V m9 {7 F4 a1 D: _
offline web pages、system32、tasks、temp、web以外的所有目录 / O9 n" I( @& d6 }$ j
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& Y: w" G! c: g g.\winnt:
# f2 z6 X$ v3 ^+ M: n everyone:读取及运行
: [* _+ U6 f2 L" ]& T3 y( Y: [ 列出文件目录 ! I8 E' j" R# U" [$ |
读取
. z5 w: \, o' r. s. d# V (允许将来自父系的可继承性权限传播给对象) - N& J; I1 l* k; `2 u0 I
h.\winnt\temp:(允许访问数据库并显示在asp页面上) a/ \$ q5 O8 g% T
everyone:修改
8 S2 }+ w. J* \0 Y- ]3 ? (允许将来自父系的可继承性权限传播给对象) 3 A7 }3 p- j: I, p/ @/ B- Q
10.如何隐藏iis版本 ! h1 `0 B: H4 H; K( T: h
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
$ ~' G& A! x q iis存放IIS BANNER的所对应的dll文件如下: 7 o ?* ^/ d7 ~( a# _
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL - O- K% u. ~; f8 j4 n( x* @
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
' y& n# q2 R% e5 v! L( j SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
" r5 p) X7 ?/ r3 W8 h M 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
" J9 V. ?7 J& l% p! O9 X2 y 具体过程如下: # ?( O. _. R2 Y: [5 m3 Z; Z) @
1.停掉iis iisreset /stop 5 O i8 `" C2 V! Q0 s! Z$ f5 @
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
' t, e& K+ l8 u9 m6 }5 ` 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
