|
一位高手整理的IIS FAQ
/ h5 C1 g4 _1 J5 \! ^9 e6 r下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ) P0 e$ x* _0 j& @/ [( J/ X0 ^
1.如何让asp脚本以system权限运行
* R& t) V4 S( D( y" a 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! ]0 ]1 S0 M, ?& g) |7 @+ t& W/ b2.如何防止asp木马
: P& S9 l1 n C2 U3 j }8 E 基于FileSystemObject组件的asp木马 cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 7 `3 e8 X' c& X6 R2 N' H3 J9 U6 o
regsvr32 scrrun.dll /u /s //删除 " g3 r! A. d' @% S$ ]% M1 u
基于shell.application组件的asp木马
' V' h) M( `" K' O7 P& w% q cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
; C z) D! |: S' V- k4 X regsvr32 shell32.dll /u /s //删除 6 Q2 B7 x+ l% z+ K+ [: L
3.如何加密asp文件
% E2 b4 a0 E3 S: ^5 M3 k& J 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
% s/ a3 C, f5 v! ~- ~1 e* ] A" o( ^ 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 {$ T4 Y# Z! e: G* B
运行screnc - l vbscript source.asp destination.asp
5 v" S% E) y2 ^7 o+ e. f, F9 M 生成包含密文ASP脚本的新文件destination.asp & [' U4 _) f- m7 y* M: ?
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 " _8 g+ z- c0 R5 P
但无法加密中文。
+ j6 I5 P7 w3 y1 O+ `+ n* H4.如何从IISLockdown中提取urlscan 4 r: j7 O. ?6 t1 }1 n+ Z: \5 x$ j
iislockd.exe /q /c /t:c:\urlscan / @) b+ a1 I% Y
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 & m: z/ v5 Y/ ]" @# ]: p
执行
7 X+ T8 w6 ^, `. h9 N& B) ]8 E cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
8 I6 L$ x" Z4 v6 `. Y3 s$ w3 n 最后需要重新启动iis 5 p/ N5 I! X) v" ]( ~9 W
6.如何解决HTTP500内部错误 ) Y, j9 ^( O7 w" L( Z2 V$ d# J5 P& F
iis http500内部错误大部分原因 4 H' F$ Z0 ]. A+ u9 }8 {
主要是由于iwam账号的密码不同步造成的。
5 y8 _6 `/ S1 B+ }0 U0 p 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
{4 p4 B2 r- q, u# [ 执行 8 K" {3 Z& |5 K/ I1 M- n( n
cscript c:\inetpub\adminscripts\synciwam.vbs -v
3 K& e2 P5 O3 N: F0 A. p! l8 l7.如何增强iis防御SYN Flood的能力
& o2 b" w* d/ w2 U \ Windows Registry Editor Version 5.00
: F3 O' K7 T$ ^% z [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] . I" R* a' `2 o
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
6 [" J! W1 M5 S* C 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
0 {( D5 o+ v, o: @( K2 e "SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
* R6 M4 p f" h4 P g* f) a "TcpMaxHalfOpen"=dword:00000064
1 H- a% K+ }$ w5 j1 { 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ; G! U# T* |4 q& b, R, U
"TcpMaxHalfOpenRetried"=dword:00000050
) j. t* q8 i8 \ 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 9 E; z4 f; l. H7 }1 b$ R
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
( ?; Q6 q7 u1 h) G5 k+ W6 R7 a 微软站点安全推荐为2。 0 V4 @( W$ `% d; _
"TcpMaxConnectResponseRetransmissions"=dword:00000001 " M; }6 \5 y G9 y9 Q
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
: t' j8 Z5 @+ X+ T) }) G9 ` "TcpMaxDataRetransmissions"=dword:00000003
% k4 M8 F9 p2 w" F- }% l: t 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
+ g3 f- s6 Z, T( I "TCPMaxPortsExhausted"=dword:00000005
4 D3 r& J$ F8 |# g 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
: ?6 r1 w. g% t) _ "DisableIPSourceRouting"=dword:0000002 1 N. P+ g; ^! S1 h+ c7 D
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ) \& \1 r) e; L0 ]! T- v( {: e
"TcpTimedWaitDelay"=dword:0000001e
7 f/ _' c; o! `& x5 t8.如何避免*mdb文件被下载 * T) {0 o& h4 F6 F0 h' J2 ]
安装ms发布的urlscan工具,可以从根本上解决这个问题。
$ V0 g9 T0 @: ?: V 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 " W9 h9 _/ z! g) h
9.如何让iis的最小ntfs权限运行 ; K( Y, q% C: N
依次做下面的工作: / }" O" |: _2 K" ?7 [; H
a.选取整个硬盘:
* H7 n( O+ g C+ I y8 d9 e system:完全控制
" _* F# W5 O: F+ O2 u" N+ c administrator:完全控制
- c( p. @6 D/ \1 ` (允许将来自父系的可继承性权限传播给对象)
' X: g# T, n& S, r6 c& j. ^5 k5 K b.\program files\common files: & r) i- ^" W8 {; c
everyone:读取及运行
# Z* T) j. A6 I2 o" l o) U) v9 I 列出文件目录
+ d- U$ x( V/ S! [$ B( ^ 读取 ) B6 N5 F4 F' T) R
(允许将来自父系的可继承性权限传播给对象) 4 I4 b0 r! N1 [1 ^! ?
c.\inetpub\wwwroot:
/ y* y: n7 w/ @* g# O/ m iusr_machine:读取及运行
$ i: k/ J! q ], e2 c 列出文件目录 / x6 w1 F9 p. q$ e: l9 C# L* f& a$ Y
读取
; j3 E" x9 D! O (允许将来自父系的可继承性权限传播给对象)
6 J$ I: o; I; F" F9 K$ h, F e.\winnt\system32: ( h4 X" y7 r7 `( q" ?# G
选择除inetsrv和centsrv以外的所有目录,
8 s( T2 P) S7 J% g, Q 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 x+ R4 B& l' ^- P' u$ r0 ]* H3 v f.\winnt: 0 g6 n' l0 Y# q; [* \9 M
选择除了downloaded program files、help、iis temporary compressed files、 5 ^: D1 \- \; ?2 [& S
offline web pages、system32、tasks、temp、web以外的所有目录 ( t. _* L; A8 E( Z- q* _' @% F
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" `* t! X/ e/ r( s/ Y+ o/ I! p g.\winnt: 3 H& ~% H1 j {( b
everyone:读取及运行
) E$ g2 N' M: h- b8 q& z. A# l 列出文件目录
- n4 M# }3 C9 ?: x4 a2 r9 q 读取 # t' P; x. X( `! G
(允许将来自父系的可继承性权限传播给对象)
* _# F. a' K6 V( ]5 l) ~0 { h.\winnt\temp:(允许访问数据库并显示在asp页面上) , L: y% z' H+ y1 A& q l
everyone:修改
( Z' z) i: g3 {. `7 }( L: q (允许将来自父系的可继承性权限传播给对象) 4 B6 w0 m& G. u9 U
10.如何隐藏iis版本
& A% G! ~. ]* F4 S; } l, R 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 0 R: Z% W+ I' `; j
iis存放IIS BANNER的所对应的dll文件如下:
7 s$ Z3 M( ]6 i4 m WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
/ l" @ M, \5 X FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL , A0 {0 e8 ]# n! i& }
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
% c; V9 g* g+ y I f" P 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 9 a5 y4 c) Y, o8 i
具体过程如下:
: }" h# H. L/ X. f 1.停掉iis iisreset /stop ) u- ]9 b1 c: ?' w* ?0 r8 b. k
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 5 [) l$ b" a( ~6 ^6 K
3.修改 |