|
一位高手整理的IIS FAQ + V$ i* V: F! r* h7 k. s1 U3 K% A
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
3 O0 H/ C X2 c7 C3 n6 P1.如何让asp脚本以system权限运行 8 C* }3 {6 I" `" k
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... * P' Q& y/ u. c2 i3 J1 @
2.如何防止asp木马
* X. R1 q- u. @+ J4 M: R% y6 k2 X7 P 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 # \* r% ^" M4 p
regsvr32 scrrun.dll /u /s //删除 . j. g0 ?* u" P& x% o ?7 J; X, H
基于shell.application组件的asp木马
8 ?0 ~" T5 R5 o2 s. S3 V" f0 M cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 & R0 S# ^* R# [
regsvr32 shell32.dll /u /s //删除
' j/ I& S' P; p1 K0 U; ]& Z3.如何加密asp文件
( A5 J% N3 ^( {% n 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
^( H! B' [# l" e9 K 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ Y# O0 E( J: r" B; R 运行screnc - l vbscript source.asp destination.asp / ?5 c! ? I" t3 O
生成包含密文ASP脚本的新文件destination.asp
( G) \# E+ X+ u3 e& Q6 n8 T 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 $ H! D& p p1 q( h4 l2 I
但无法加密中文。
: @9 h# Z2 n$ P- e* O4.如何从IISLockdown中提取urlscan + e* Z+ _1 n2 F
iislockd.exe /q /c /t:c:\urlscan & C7 D, D) Y6 W* k; n% V) ~/ ^1 G' ?
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 / p$ _9 t2 `2 f5 P% ~
执行 1 Z4 q' I* m) ?
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
0 \7 `& \( m& c( }$ d 最后需要重新启动iis
0 I" _+ i! E9 U/ ^# a& k2 Q3 v6.如何解决HTTP500内部错误 ' u- S! D- F; P6 p% v8 i
iis http500内部错误大部分原因
3 g' k, l0 z; _: z) Z 主要是由于iwam账号的密码不同步造成的。
: ^5 h( C$ @* O# A: K 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
# y* N# f2 D# c5 c, ? 执行
2 O2 O% w) o) m7 i+ N: N" U, Q- W cscript c:\inetpub\adminscripts\synciwam.vbs -v
4 X1 z+ u+ a1 M0 ?) B7.如何增强iis防御SYN Flood的能力
# x' e7 y( z8 P$ i; q8 s Windows Registry Editor Version 5.00 , b! v# O9 T h( E
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ; }" p" K% r, i3 U* P# N0 G D. \
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 ( R. }7 u5 n' G4 J% w
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ) o4 A+ y1 E0 l6 B% d
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ) L H2 s2 u: ]) |8 q
"TcpMaxHalfOpen"=dword:00000064 , [' Q) \4 F% v
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
3 i( c; D+ y$ Y "TcpMaxHalfOpenRetried"=dword:00000050
7 L5 r2 P6 |: K 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 2 y$ E9 B4 z& J( i+ W/ ?
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 , \2 b9 ?3 v" E
微软站点安全推荐为2。
" e! K7 G. ?2 x: U "TcpMaxConnectResponseRetransmissions"=dword:00000001 1 @" G! h& Z2 D$ l: S
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- s" S; N% x% o6 ^* b( m- I* ~ "TcpMaxDataRetransmissions"=dword:00000003
; {+ @5 A$ t! A. X2 B 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 5 r1 K8 j& L2 K. [" q/ J: c* R- O
"TCPMaxPortsExhausted"=dword:00000005
5 e8 O6 f1 k& D' j: J% l- G 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ; ?" V8 c$ \2 {3 {
"DisableIPSourceRouting"=dword:0000002
) E3 Y( ]% {8 o* k. X9 W5 E' U 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
1 ^5 N9 [* l) H& j& \3 l "TcpTimedWaitDelay"=dword:0000001e
$ m* r, ]7 r2 z5 d6 x8.如何避免*mdb文件被下载
4 P( i3 f, q# P# b" Y9 m$ Y 安装ms发布的urlscan工具,可以从根本上解决这个问题。 6 H& X# ]5 {; ~. N% w
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 * j' e0 T4 V% C" h* v' I. j% @
9.如何让iis的最小ntfs权限运行 # ]+ s: v7 r! ?/ ~9 O) r+ [# ~
依次做下面的工作:
5 x/ G% n. E5 U5 c2 m' U! I: [ a.选取整个硬盘:
# M" ] D4 |! ?1 O" _. [; k: m system:完全控制
8 ]" A f' ]* h$ R9 { administrator:完全控制
& l* w+ |7 R6 g (允许将来自父系的可继承性权限传播给对象) 0 D3 @+ h8 p0 V3 b
b.\program files\common files:
+ i* `6 q8 I6 p0 w. N everyone:读取及运行 3 \2 c4 ^* E' z2 E6 J# s
列出文件目录 , e. g* c7 F% Q* z _
读取 / O& z2 W. R2 y8 S f
(允许将来自父系的可继承性权限传播给对象)
5 H8 R2 v' \: R+ ]- w; X c.\inetpub\wwwroot: 9 {0 }8 X& D, O$ c' G- B
iusr_machine:读取及运行 7 S; x; w9 Q7 q( _' z( t: `% Q
列出文件目录
! t/ y7 n' `. d( ~ 读取
% p/ c: _% I) N (允许将来自父系的可继承性权限传播给对象) 6 {: \! {5 {$ A& u* v4 l
e.\winnt\system32:
' I) d+ G/ `0 g4 {9 r; w0 } f( A 选择除inetsrv和centsrv以外的所有目录,
# s) @( v7 U$ Y8 X Y+ X 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * [6 h: y. h' E) X& u
f.\winnt:
2 N& h1 G" K+ E0 H# ^ 选择除了downloaded program files、help、iis temporary compressed files、 * k2 Q$ @; s. @+ N+ q1 q
offline web pages、system32、tasks、temp、web以外的所有目录 ! K; g8 U c; E" E
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ) B- @5 z" _" y4 S( J- p3 t
g.\winnt: 2 z) e; E# X! b) e$ N
everyone:读取及运行
* u4 {+ E/ c7 ~" U5 [ 列出文件目录 8 U1 e7 z4 Z7 l# S$ r: B- u
读取 2 D4 g0 O' H d" c# \+ [
(允许将来自父系的可继承性权限传播给对象)
+ B3 C& V5 T4 k4 U! Q' b1 _, M h.\winnt\temp:(允许访问数据库并显示在asp页面上) 4 V4 ?/ e: B8 @0 V/ P. B9 x
everyone:修改 7 t# K* c/ _0 P5 _* A+ v
(允许将来自父系的可继承性权限传播给对象)
$ B g+ X8 G3 Z10.如何隐藏iis版本 " P( e. O" l" W2 v
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
$ u4 e7 F. q k' V7 j iis存放IIS BANNER的所对应的dll文件如下:
Y# f& H0 r* \: t WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
R: D2 Y1 T7 I% ]$ F/ ~! D FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL * k! G6 [5 c& t5 l' z
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
5 o1 Q, P+ u/ w 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
. H! d$ G7 J( t 具体过程如下: 2 x5 c$ ?# B# Z
1.停掉iis iisreset /stop : t3 p1 _* X/ G, [) R, w! ]
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 6 w$ t+ X; G7 d) p. e% s: {" Z
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
