|
一位高手整理的IIS FAQ
, b+ [/ S3 u3 k' I1 ^4 s2 T下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
& S# W3 H- F# Z! e5 A1.如何让asp脚本以system权限运行
: K' y2 @9 R/ ?. ^ 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
8 p3 s# j" x# U! A/ f. n1 w) p2.如何防止asp木马
, y" `2 m' O3 w8 M4 p6 _% ~ 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 - F i9 K5 t7 F, V
regsvr32 scrrun.dll /u /s //删除 + L1 l3 N& r* f& _% m* l2 H
基于shell.application组件的asp木马
; e/ W9 V# |# }" [0 Q# n cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
3 ^8 y( K( a- b- l. H regsvr32 shell32.dll /u /s //删除
9 r7 F; H# U1 d* T3.如何加密asp文件
7 x, a7 j z5 b. } 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
- u: K) \. n2 u: W9 X& Q+ Z/ W 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 6 Y( k3 m$ o% b
运行screnc - l vbscript source.asp destination.asp ; J* `( U% V" y ]4 U& P
生成包含密文ASP脚本的新文件destination.asp
' q" W" Q/ r4 Y% J/ } 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 # _- F) H3 R9 u( ?0 ^
但无法加密中文。
$ f4 D$ J$ s' y0 b# h+ ?5 o- f4.如何从IISLockdown中提取urlscan
& t4 J/ p# O: }( k3 J6 z6 `" o, j iislockd.exe /q /c /t:c:\urlscan 2 y4 W% j. b0 |
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
2 ]* ?! z) V3 b/ u" B 执行 3 R* W/ g$ t5 f; R
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 5 f3 I! x, Y7 p7 n! \, t' C0 M: ~5 k
最后需要重新启动iis
, F7 M4 S! \" A6.如何解决HTTP500内部错误 ' b7 P2 J7 _" l' _
iis http500内部错误大部分原因
5 A" Z4 Q S* z k( h* C 主要是由于iwam账号的密码不同步造成的。 Y6 i$ B: ^8 H+ L: }4 r' R. [! `
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
' Z; X: \( {8 U/ u 执行
; J, U5 z$ O% o cscript c:\inetpub\adminscripts\synciwam.vbs -v
' Z; n" q: ~( ?* C( y" H$ |7.如何增强iis防御SYN Flood的能力
8 |* V* V/ t4 d4 d Windows Registry Editor Version 5.00
; @, y0 w# Z; Y; V4 E! H( P5 A8 k [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
1 ?" a7 ^1 j$ k( u# B5 h n 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 ) s" E* i9 M4 a& {
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ! N" A5 f A4 p$ n
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ( T% {: j& s( G2 _9 D; z4 u
"TcpMaxHalfOpen"=dword:00000064 5 c* K9 V4 u' N" { s! V& j
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
" P. [* F3 W8 ` b! Y "TcpMaxHalfOpenRetried"=dword:00000050
) P& K: s6 O$ j" R. S0 S 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 6 ?2 I$ L% f! `/ q
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 D' o8 g! s, V7 t* i1 A9 A0 T/ X
微软站点安全推荐为2。 9 g# p& ~( E5 z, I! k$ k5 o: L0 ~' t+ R
"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 G" }# F$ _8 X4 Z, a7 G 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 + Z* j6 l @7 {, b" u
"TcpMaxDataRetransmissions"=dword:00000003
' c4 W2 G7 X/ v& o1 @* U 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 0 D( ]- H d3 m
"TCPMaxPortsExhausted"=dword:00000005 % S( y6 i2 X$ W& N- v/ ?$ G1 _6 L! P
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 2 z" }2 I2 h, ]" j
"DisableIPSourceRouting"=dword:0000002
" T# U& I% Q6 l/ c- b1 b" p* y 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
2 k# J7 d1 `9 K A6 i "TcpTimedWaitDelay"=dword:0000001e 4 b6 |9 K3 b" C8 o- K
8.如何避免*mdb文件被下载
" c( E! a$ x m0 | `# z! Z 安装ms发布的urlscan工具,可以从根本上解决这个问题。
3 F: ?1 A% b$ }' Y 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ; _, g0 P# |; K* X) s
9.如何让iis的最小ntfs权限运行 : I& G3 X6 H0 L* q. r, `8 p3 m, z
依次做下面的工作:
( F( C$ L8 d7 D2 i+ }- c+ E0 P/ c. ]9 i a.选取整个硬盘: " w6 X# f* s6 a
system:完全控制
. E+ W9 W2 t: x6 c administrator:完全控制
* }' E) q+ N; V, P ~2 x+ c+ B (允许将来自父系的可继承性权限传播给对象)
+ c8 k2 M; \, y: B, O b.\program files\common files:
8 o3 s P, V" f1 y' c: } everyone:读取及运行
* R: Y3 X0 p: o$ H" f- x8 C 列出文件目录
+ ?8 M3 c3 _2 e& _ 读取
* V' {+ U$ d" T" L2 [& H (允许将来自父系的可继承性权限传播给对象)
: {, `# h+ F9 r2 ]- z |5 J) t c.\inetpub\wwwroot: + m: N* m# T0 {+ }$ C( T3 t0 \
iusr_machine:读取及运行 7 y' x, T, X$ G; {' u, r* r
列出文件目录 ( ]' w/ F" e! M2 [& J
读取 4 d0 z/ E6 f( ?& }
(允许将来自父系的可继承性权限传播给对象)
0 t" S: G6 g! C& P e.\winnt\system32:
0 d! P: J+ }% B 选择除inetsrv和centsrv以外的所有目录,
9 E( N! R1 D$ n# s9 O! l, t 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 y; h+ S# J/ Q f.\winnt:
9 E4 r$ t8 ?$ O8 [# z 选择除了downloaded program files、help、iis temporary compressed files、 5 f+ n: X. G! A' e0 ^6 g! ^" M
offline web pages、system32、tasks、temp、web以外的所有目录
( g! P' v# I/ O8 ?/ u 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: P# V+ C/ v9 p9 K1 g2 z* i g.\winnt:
9 W' t9 }( L$ v6 L everyone:读取及运行 * Y# ]% n# Y: M3 w1 Y" n9 H1 {7 D( [
列出文件目录
: P5 [2 D- m* s5 ` 读取
" r* }, _( s3 ^. i (允许将来自父系的可继承性权限传播给对象)
* o4 R+ q W. _ h.\winnt\temp:(允许访问数据库并显示在asp页面上)
2 l9 x" k8 o6 h, L8 m- E/ u9 J everyone:修改
- {% z v: [: j: Z- C (允许将来自父系的可继承性权限传播给对象)
7 v: e u8 y% y10.如何隐藏iis版本 # A2 I/ G# N- A2 p: ]
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ) `7 X: L; `. A% t
iis存放IIS BANNER的所对应的dll文件如下:
- `; H% L& K6 L- i9 B% D WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 9 f6 ~: r. C- K) t3 A
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
0 p' J1 c: C- y9 z( u SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL + J* p; X! k6 n2 g) {2 k! G
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
4 r( M8 ^# x& A3 g! `; ~ 具体过程如下: $ x) ?" O# g$ j& c; Z1 Y, E) E
1.停掉iis iisreset /stop
$ z+ E# A6 Y% N/ V 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
7 u9 k. a% I5 x/ C( B 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
