|
一位高手整理的IIS FAQ 3 y' O! ~" k3 Y& P
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
. {8 K) q' z) z; S0 Q: S: B1.如何让asp脚本以system权限运行 : |, M+ V2 ] ]) d
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ( [: e& h/ T, [: b2 x
2.如何防止asp木马 3 A8 c* ], X# Q$ S1 D% q
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 , I4 |6 x, ? c; P
regsvr32 scrrun.dll /u /s //删除
3 ?3 j/ D3 d/ i l8 k8 e5 g- c2 d 基于shell.application组件的asp木马 7 G1 G+ B6 b0 _
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 7 y( s0 x6 p* Q5 Q& K& d: _8 i
regsvr32 shell32.dll /u /s //删除
+ ^2 X2 e/ n. j" l3.如何加密asp文件 - [8 d; z0 P( C! Q
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
* ~# [7 Y* R3 A5 ?. y) x 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
# T( v4 r! I% [1 v" @# S 运行screnc - l vbscript source.asp destination.asp
. h: V$ G2 R% i- ]; Q% b 生成包含密文ASP脚本的新文件destination.asp $ V6 E8 P) m- y1 _! ^5 [! h; c: y- `, j
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 1 ~+ {" i" K9 S/ e# D( g
但无法加密中文。 * H/ q5 W$ i) f, u- G+ E9 F5 u
4.如何从IISLockdown中提取urlscan
. h" Z5 C6 R0 @: @& w! m/ Y iislockd.exe /q /c /t:c:\urlscan 4 \ Y6 {5 f0 m5 `2 A' U
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
- F5 F) H, }8 d" E2 Z 执行 ) E4 g2 J4 K0 p/ J! d: q1 ]$ d
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
, p4 w9 h5 m1 \$ N 最后需要重新启动iis
: U! ?6 `/ m/ s2 @, [ {& f8 u( [# J6.如何解决HTTP500内部错误
! S7 d4 {. B; S" _ ~2 z iis http500内部错误大部分原因
8 s! f: q/ Z, m) K; K 主要是由于iwam账号的密码不同步造成的。 9 E/ i U5 A: |6 e
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 0 U y3 `5 i( y& l8 K
执行 5 J' |' P% W7 t8 N5 m
cscript c:\inetpub\adminscripts\synciwam.vbs -v 8 a1 c% B! S& \. d* z# x$ X
7.如何增强iis防御SYN Flood的能力 . |6 K" R- }; b
Windows Registry Editor Version 5.00 * |/ L4 h9 Y4 u* K, }/ v; Q
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ; ~# v2 s5 X* N" ^' H- c
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 + o1 p x, |) ] u
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ' {6 z/ L3 S' g5 s4 j
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 . R- A$ E9 I* t4 o) L3 f
"TcpMaxHalfOpen"=dword:00000064
' S2 R9 ]; u6 o: ?* z7 F! k 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
: Z" w, M# q1 c7 ~ ~ "TcpMaxHalfOpenRetried"=dword:00000050 ( ~; W7 ^" N* d% h; r1 a, a
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 / D- T5 J% `4 a& c
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 6 D [3 ?' X0 e- \* n+ w/ [* t- g
微软站点安全推荐为2。
a0 O9 q9 Y, U% t: k1 }1 s "TcpMaxConnectResponseRetransmissions"=dword:00000001 - J p" c, T2 ]) y
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 * {" v6 e! ?; t7 y; J& f0 Z4 O
"TcpMaxDataRetransmissions"=dword:00000003 " ^* s! D# z" w( d3 |9 O
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
! n+ B, W2 ?. p2 L* q' ^/ O. V "TCPMaxPortsExhausted"=dword:00000005 $ U6 [/ ]( Z$ Z- P# d; |( _
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ' b. a- m* J% x5 S6 u( m6 l
"DisableIPSourceRouting"=dword:0000002 ( H! g0 ]: y0 x' |5 G
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
* L! |6 L+ R8 C) l7 Q "TcpTimedWaitDelay"=dword:0000001e 5 ~( }( M5 M3 i( B
8.如何避免*mdb文件被下载
\( N5 s# Z) S& g$ c( `& g 安装ms发布的urlscan工具,可以从根本上解决这个问题。
1 t0 F* u% s6 X* @4 s0 u 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 & x6 T: h! N5 s1 }2 G
9.如何让iis的最小ntfs权限运行 8 _9 E" E6 ~! _% A# [
依次做下面的工作:
c1 s, z6 W! P' \ a.选取整个硬盘:
. [7 d/ ?) \: X6 J" y5 o9 t system:完全控制
* G, I9 R& ^ m administrator:完全控制 ; y1 W7 M9 y2 Y# {0 o" h8 A
(允许将来自父系的可继承性权限传播给对象)
Y8 q9 J7 _; k4 h b.\program files\common files:
3 n6 i( F% k, { H* u6 M everyone:读取及运行
! V5 i/ Y9 B( z& l 列出文件目录
6 r# U% Z3 ]" E. q0 F3 R 读取 4 T% ?) Q+ T$ ]* z4 E
(允许将来自父系的可继承性权限传播给对象) 0 ~# g' W" L M9 f5 r" N
c.\inetpub\wwwroot:
* j+ ~, E3 f [: J iusr_machine:读取及运行 $ w K( U, N8 x. U
列出文件目录
7 o5 \6 z4 T8 j9 D7 H 读取
0 x8 Q& e1 ?7 W2 O4 m$ i0 z* P5 o5 O0 D (允许将来自父系的可继承性权限传播给对象)
2 D; F$ e2 X6 f/ o3 Z e.\winnt\system32: 7 W% f {0 O) R
选择除inetsrv和centsrv以外的所有目录,
& X$ C F% _3 W- C+ V, P 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
5 J5 }% Y0 S. O/ W f.\winnt:
+ R1 `# C; V1 L7 e 选择除了downloaded program files、help、iis temporary compressed files、 - y0 W& ~5 [( @+ s1 \0 o5 g6 u
offline web pages、system32、tasks、temp、web以外的所有目录
& G: t1 O( m4 }4 y 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 3 C6 r8 f) K8 O* u. o5 t! |
g.\winnt: 3 `# E6 Y5 V/ |: T; T J" t/ J
everyone:读取及运行 , H3 x2 ?. I& r0 v) K# o
列出文件目录 : d; U6 y9 c) v/ m# ]6 t; e
读取
+ G7 [' v. X3 ^6 h (允许将来自父系的可继承性权限传播给对象)
5 v5 u+ U# |- l5 |4 r" e1 @/ N) ~ h.\winnt\temp:(允许访问数据库并显示在asp页面上)
4 U8 A2 I1 m# E$ c everyone:修改
) ]/ a# ^7 P$ Q. ~9 S1 [ (允许将来自父系的可继承性权限传播给对象)
0 d( }1 r6 y/ N. F* K1 U10.如何隐藏iis版本 + e9 [& C! W' a7 J2 H2 k; ~, `
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
0 X; C h% U9 y iis存放IIS BANNER的所对应的dll文件如下:
# U1 m$ F; R$ _7 I& d( a WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
" [( x9 c1 O4 J( e FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL - H* k$ O+ O1 ?' C& w
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
- J, ]: s6 o N 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
& Y! P1 q/ g' i) h 具体过程如下: # n4 G3 v7 n9 L; @1 L
1.停掉iis iisreset /stop
: U* f7 o4 N& ~6 f 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 - D8 G/ `1 `5 X' d3 |/ w
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
