|
一位高手整理的IIS FAQ
+ R$ K3 {. T5 [0 O下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! " I$ q) L. C; m! \0 ]7 |
1.如何让asp脚本以system权限运行
' i) \# t, B$ l+ b, ~ 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! _# ]' c, ?6 D3 S7 F+ Z. x0 u' k% q2.如何防止asp木马
h/ L# l$ n3 V 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
: n. m" b a# W/ w1 F regsvr32 scrrun.dll /u /s //删除 0 ^* t3 a# A* b" s, s9 t: T A
基于shell.application组件的asp木马 " T6 M- G. i7 t
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 : V/ K$ `* W1 a0 R
regsvr32 shell32.dll /u /s //删除 $ {' b5 Z. H. g. h: M7 v! r
3.如何加密asp文件 # y- F& p& b6 ~+ ?% ?) G
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
" a7 \) H9 G6 a0 y5 |& H, n6 i7 |3 b 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- P* I1 f3 m- ]) t$ e7 [' v d7 K 运行screnc - l vbscript source.asp destination.asp 2 S3 y2 A: s; d' }1 f# ]% d W
生成包含密文ASP脚本的新文件destination.asp
+ X$ a4 u7 C4 z2 k( h 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
6 h; F! A5 M# h+ q) `# P0 e0 l 但无法加密中文。 ( K* s% l+ L. [9 X
4.如何从IISLockdown中提取urlscan
# ^8 ~: q6 G& i4 D iislockd.exe /q /c /t:c:\urlscan
9 G: y5 Y$ H! [9 \" p9 S. D r- i5.如何防止Content-Location标头暴露了web服务器的内部IP地址
, k% h' e7 Q7 z$ k) H1 g1 h* ] 执行
v, C* h+ ?! |/ S* `" y' x9 p cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True * P0 o: W# x4 A/ G7 @2 m
最后需要重新启动iis
5 X* I6 |; Q+ E: |6.如何解决HTTP500内部错误 & W# ~4 c) U7 ?
iis http500内部错误大部分原因
( W* o. h6 X% f/ f4 T! p 主要是由于iwam账号的密码不同步造成的。
9 }6 x5 F( \% t3 t! N 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
$ u: m2 j/ y L) p' K 执行 ) ^8 G" | v3 w/ Y1 s! @
cscript c:\inetpub\adminscripts\synciwam.vbs -v & c$ r p" A- U
7.如何增强iis防御SYN Flood的能力
- Y7 r8 v, Z4 A1 x Windows Registry Editor Version 5.00
9 C/ p* r+ @6 g [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
. X; w7 ^- S4 y8 ?7 y @ 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 ) L6 w) o# X) K& d
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
# O2 |5 g* i4 { "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 1 P, r7 i" a- O- B1 \ g
"TcpMaxHalfOpen"=dword:00000064
9 p1 B# Q* x8 t# ?9 ^8 j" U 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 : q" C0 |# a0 X' {# h, A
"TcpMaxHalfOpenRetried"=dword:00000050 ( v3 L( D1 T! C/ V6 m
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ( T4 w/ d Y" A( r* C
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! G% t& \/ y r4 G 微软站点安全推荐为2。 0 D. a/ p% @" P" g; D
"TcpMaxConnectResponseRetransmissions"=dword:00000001
+ [) d' G* j" w 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 * \" l, k; P, P0 i6 p/ ^, o
"TcpMaxDataRetransmissions"=dword:00000003 % ~2 _+ y# P8 m- t% O5 H" t
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
. Z% c% i6 l( P x9 t( S* p) l7 A "TCPMaxPortsExhausted"=dword:00000005
! I4 ^" ]5 J+ b' T l& X 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
" }: y& }0 \) A' y U7 e "DisableIPSourceRouting"=dword:0000002
; J, j! j- J5 X% G 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
& |+ f/ e/ ~ z" @6 ~ "TcpTimedWaitDelay"=dword:0000001e
0 c6 `" p. X9 R' Q9 Q x, M8.如何避免*mdb文件被下载
0 v9 o& u" T9 s. ? 安装ms发布的urlscan工具,可以从根本上解决这个问题。 7 Y7 V" y! K& N4 ?9 ]$ I/ l2 d
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ( s l( v+ t* B. g* A
9.如何让iis的最小ntfs权限运行 % [; T3 F; J& T8 Q3 y
依次做下面的工作: ! ~& [* z) o( C% h8 M: l
a.选取整个硬盘: ) P! R* h/ h/ A1 K2 [7 G" X% T
system:完全控制 2 w6 R* I7 s; W
administrator:完全控制 2 \1 a7 C) @( O- P4 J# k
(允许将来自父系的可继承性权限传播给对象) . y$ d2 |8 v9 P# I. ]
b.\program files\common files: / ~# s: M9 U2 U! S7 Y( |
everyone:读取及运行 " X/ N5 I, r; F% ?5 T: s
列出文件目录 ! q- \% [) s# v' @
读取 9 A/ K2 r) C: `6 k* i0 [! d
(允许将来自父系的可继承性权限传播给对象)
0 M+ A2 w9 h! e% s" l6 s c.\inetpub\wwwroot: ' h4 k, H t7 H8 P/ S0 i
iusr_machine:读取及运行 ; k1 X0 q/ G2 d
列出文件目录
7 y0 N1 K( D+ D5 T6 P: c8 A, g 读取
1 \& t( D6 F) ~; \8 Q1 |: e (允许将来自父系的可继承性权限传播给对象) / `6 u" ]6 u, n3 O: j) W
e.\winnt\system32:
3 w) v0 b7 r% P8 O$ p5 S! O9 s 选择除inetsrv和centsrv以外的所有目录, 0 C! Z; l5 f) F, l8 m
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 8 b- Q' r; ?$ Q: }
f.\winnt:
8 v: m5 v% }# q6 s) s+ s1 X 选择除了downloaded program files、help、iis temporary compressed files、 ; R) m! M9 M0 J( B/ [' v% M/ Q
offline web pages、system32、tasks、temp、web以外的所有目录 ; c: `' a9 r* a. v; R
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ' A H3 B/ F1 H
g.\winnt: - u# [- A, _! y% q: H
everyone:读取及运行
* [) `! v1 r/ G6 V+ U4 r( e 列出文件目录
4 J6 O) i$ _# q$ l% h$ t5 d, x 读取
e- F& J# }/ I! _) I (允许将来自父系的可继承性权限传播给对象) # F, y7 r/ }& N% d4 d
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
) t7 g* T, I7 l0 A1 K everyone:修改
9 q9 s: P# d: E4 C' d- b (允许将来自父系的可继承性权限传播给对象)
) ^- r7 R7 p% z* n6 n7 G10.如何隐藏iis版本
7 B3 X2 r/ M/ Z0 g6 z$ ] 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 1 y# M0 h* X5 J/ J P
iis存放IIS BANNER的所对应的dll文件如下: ' ?9 B+ N# {9 {9 m V# f) b
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL * V8 O$ W) c0 L# p
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 5 g/ x# _" J% T
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
' r8 g! A& T9 |: } 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 % R" f7 X+ K* t( K) A4 ^9 L7 D- j
具体过程如下: 4 a9 A+ t/ d& M" t$ _! `
1.停掉iis iisreset /stop ' z3 D& j/ R# `
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
0 {: X2 s2 S9 w) o 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
