|
一位高手整理的IIS FAQ
, b; H7 I! z2 ~4 |# G下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
8 ^' @* `0 k1 M1.如何让asp脚本以system权限运行
( n& a3 O" m! X# N 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
/ g* @3 X2 I! h% f' ]2.如何防止asp木马 ( B. w3 q; f- T! t( H& O( Q' x
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 6 t4 k, p' [1 n% r7 i+ H
regsvr32 scrrun.dll /u /s //删除 " ]* V6 Y2 V3 X
基于shell.application组件的asp木马 0 m+ W0 g0 \/ G! P, |: A8 ?
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
9 f" v, g( [3 A a regsvr32 shell32.dll /u /s //删除
2 H( N, E1 L+ S, t+ M3.如何加密asp文件
! W" E* d5 J+ j4 V 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 5 }( p4 j7 b* F; E
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 , ?2 d: ~$ y" X/ y& W
运行screnc - l vbscript source.asp destination.asp
8 {/ @$ F- A. x4 X( V: u 生成包含密文ASP脚本的新文件destination.asp
1 y1 i% |# \+ b8 p 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
9 Q& {+ ?% b' j; X2 F! U 但无法加密中文。 , o0 m. }5 K: Z) u7 {
4.如何从IISLockdown中提取urlscan
9 R( Y+ w* ^# r n2 n4 U iislockd.exe /q /c /t:c:\urlscan 0 F3 M- D) c8 X
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
. K4 H" i# q! q2 x) v1 u$ l 执行
; o6 r* v. t" ? cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
0 @* N& A# g& S' y* W+ i4 A/ t& T 最后需要重新启动iis $ ~- z* b7 A% L) C: M, _! Z! \
6.如何解决HTTP500内部错误
5 ]5 w1 M6 y x& q4 e3 c iis http500内部错误大部分原因
8 R" {0 j( b, ] b+ M4 @ 主要是由于iwam账号的密码不同步造成的。 8 x% P8 e" y0 @) r
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 ! [$ J( w; @$ @ m
执行 7 Y u. n4 M; s$ F% b/ N
cscript c:\inetpub\adminscripts\synciwam.vbs -v
: X2 q0 N* I6 d( w7.如何增强iis防御SYN Flood的能力 . l9 a1 |: c9 L0 a
Windows Registry Editor Version 5.00 3 C0 B R m! X* _3 N, Q
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ' _" O. E5 J5 _( e
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
) c9 N6 S2 v+ J/ h5 N4 V 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
! X6 r% |& f2 P1 F, O I0 R "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 1 }* H5 }$ X& L' m
"TcpMaxHalfOpen"=dword:00000064 : |' l* _, Q: D3 @
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
% ~" N2 H! M# W# y, N "TcpMaxHalfOpenRetried"=dword:00000050
6 E. c: t- q7 `' \8 p 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ C5 w. ~9 ?# X! X' P. \3 n8 X8 z' O+ Y 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
1 Q6 J7 p; }% R1 z- V: |. a3 R 微软站点安全推荐为2。 # B9 p6 Q' D6 M6 p+ T
"TcpMaxConnectResponseRetransmissions"=dword:00000001
& y, Q1 e6 I6 i: N1 y 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 % T% a4 Q$ T% a. L7 P
"TcpMaxDataRetransmissions"=dword:00000003 * j" Z/ l) K) w, T4 i2 Q2 M. k
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
4 x$ ?& F2 v& ^- \2 F. Z$ ] "TCPMaxPortsExhausted"=dword:00000005 - J$ I" F7 X% C7 ~1 ^
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 8 H6 a# g5 R4 d! j0 t/ F, G+ N/ j# S
"DisableIPSourceRouting"=dword:0000002 . Q. e- d; ^& L- R0 \( t3 M
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 % a/ a2 }& s/ h. v' V* o! B
"TcpTimedWaitDelay"=dword:0000001e . e! F9 s* \, n; |0 S: ^
8.如何避免*mdb文件被下载
/ q+ ^2 f" T% H/ [$ D 安装ms发布的urlscan工具,可以从根本上解决这个问题。
+ w9 l; r, }: P4 Z7 h+ K/ T* l! V6 J 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
1 k( x$ o( J) r* P' m2 u9.如何让iis的最小ntfs权限运行
8 s7 R9 g$ W0 u. ]: T0 H/ V7 [ 依次做下面的工作: 4 H0 \: j4 @3 p2 `8 z8 u& h% y9 N
a.选取整个硬盘: 6 H: H0 |. B4 u2 c
system:完全控制 - A& |' I' m1 S: S/ f' }
administrator:完全控制
& ?! A0 S& J+ C8 |! K (允许将来自父系的可继承性权限传播给对象) * n+ S6 F# ^. Z' N2 ?4 f% e
b.\program files\common files:
' y2 i1 U- N" p0 u( W9 o% ?2 S everyone:读取及运行 7 J0 t9 ?. _1 N4 v. `- h
列出文件目录
j1 o; Z! \: t5 g+ p/ ?$ R 读取 8 w8 A' A0 \& N
(允许将来自父系的可继承性权限传播给对象)
. H* h0 x( }. ?$ u0 u: x c.\inetpub\wwwroot: : D$ B! N$ X0 B @4 j
iusr_machine:读取及运行 , \4 Q. P# K" k5 @' H6 C4 |0 W
列出文件目录 " v* \& h" }) j( c6 p: V/ |
读取 ; ?, x+ w$ d; n
(允许将来自父系的可继承性权限传播给对象)
. d8 i' c+ P% j$ g; T" x e.\winnt\system32: : k4 E8 r. @& S; i+ o/ b: X
选择除inetsrv和centsrv以外的所有目录, : [0 f! I/ H& ]5 ~; S( A. v5 F) M
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ ~+ S4 L. X7 t" M& w0 ]" v1 Z f.\winnt:
% ^+ W! }. H" E# x 选择除了downloaded program files、help、iis temporary compressed files、
B+ b$ s5 X5 `" K offline web pages、system32、tasks、temp、web以外的所有目录 7 M$ c! {. s. F; B8 N- a- }6 A7 \
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 1 ~! s( D( L4 _8 Y$ ?* s
g.\winnt:
7 U# E8 o, M" L# _ everyone:读取及运行 ; f) T) u, W9 R2 N$ v; C& B
列出文件目录
9 I1 _8 \& ~& B* N 读取
7 j' g8 h4 _; L+ z% Z (允许将来自父系的可继承性权限传播给对象) 5 d% w2 U5 ~) |8 q
h.\winnt\temp:(允许访问数据库并显示在asp页面上) ; a. e# M1 t6 `9 y
everyone:修改 ~9 N$ ` `$ j, i7 w5 @
(允许将来自父系的可继承性权限传播给对象)
. h) i! f% g% l; R \" U+ b10.如何隐藏iis版本 % r5 B# _# G' X9 I: O5 M4 |
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 7 v, U' y: O. w# n( S
iis存放IIS BANNER的所对应的dll文件如下: 3 i0 r S! F" d, X# ~" x' {
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
5 u# Q4 f) X4 ?% M FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 0 Z9 _. H: B8 J2 L/ F; F6 b/ [! _; e
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
! v( }( b3 H# s9 V- T' k# ^ 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 2 { {8 R* }6 K% E/ y% M' S( z
具体过程如下:
" V" ?, v( |: y" Q: N4 o 1.停掉iis iisreset /stop 8 _- b1 U0 L' P" {% D2 E; M( S
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
+ {+ `4 m+ x8 H. X) A" \( Q1 R 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
