|
一位高手整理的IIS FAQ
- V+ x# D! [5 t% m3 S下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 4 W1 s$ m% k; C4 j% g* h( t; y1 z
1.如何让asp脚本以system权限运行 * m2 d/ y9 X" d; f$ m5 {/ Q
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 3 [$ ?( N% g/ j! B" o6 s
2.如何防止asp木马
H* j( f- T4 w `7 Z# \ 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 1 l A! U# p% n: S
regsvr32 scrrun.dll /u /s //删除 / S. N) O b2 n$ h4 @* r
基于shell.application组件的asp木马 & S* ^6 u: ?7 w
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 0 R1 o" q9 _& l: I2 z
regsvr32 shell32.dll /u /s //删除 & l, \ h- Z" e2 e! g* _: D
3.如何加密asp文件 ! f; l* |' D8 F
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " P% ~: i/ E, y, v
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
$ P# @* c' `8 p2 l, J 运行screnc - l vbscript source.asp destination.asp ; U8 E) e! A; c, t% t; X5 t4 B
生成包含密文ASP脚本的新文件destination.asp
. X( d/ `; U8 }8 Z5 D( J 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
3 A+ C2 R8 G9 u+ s7 i! m" q 但无法加密中文。 1 p& w. p$ W; ~; s; f3 X# a3 v
4.如何从IISLockdown中提取urlscan ) d/ E; z8 S0 J) q0 y, X# l
iislockd.exe /q /c /t:c:\urlscan
) i! I3 {: R: Z% K8 t& }3 y5.如何防止Content-Location标头暴露了web服务器的内部IP地址
+ b8 w* b( G( e( F 执行
7 y% M4 }% y$ ?. I cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True + O) K2 Q; E# G7 ~# R4 w
最后需要重新启动iis & F8 R+ l) @( X! q8 H0 `
6.如何解决HTTP500内部错误 $ ^7 L- F' ^) t8 w7 k
iis http500内部错误大部分原因
, y6 ~: s( F9 e6 Q: h: s: G4 S5 F 主要是由于iwam账号的密码不同步造成的。 - M% }: P9 h' D8 x
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
5 ~1 X& ]2 U- q' Y+ i 执行
. Y4 V" P8 J/ t2 [# o& ^ cscript c:\inetpub\adminscripts\synciwam.vbs -v
( k. l. ^. s1 S0 p' B7 ~7.如何增强iis防御SYN Flood的能力 " P7 t2 m" h: x: D1 k8 }
Windows Registry Editor Version 5.00
. c$ D- r5 F! s0 f8 ^ {( {. } [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
( j5 z. w1 J3 Z6 ] 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 . O8 M; _" [& g' ], T. m4 h5 t
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 b: ~0 L$ T, H9 \1 g( Y, J "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ) B/ S5 @( X7 }- f3 T
"TcpMaxHalfOpen"=dword:00000064 9 u, S* E S/ G& e: e; E$ p
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
4 s. ]0 L/ Q7 \3 X3 a "TcpMaxHalfOpenRetried"=dword:00000050 1 x3 D7 K- Z7 T$ y7 x( j' K
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
2 W0 b2 H" d y( J# | 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 , g3 O: H, Q% ?9 E
微软站点安全推荐为2。 ; ], Y8 |5 @% \
"TcpMaxConnectResponseRetransmissions"=dword:00000001
- S9 E! O) a- I 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 # U; w1 q1 {# w' k, g
"TcpMaxDataRetransmissions"=dword:00000003 4 m* A5 E3 q6 z1 f! G& y7 F
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 + v1 h: N* }! o; g# \
"TCPMaxPortsExhausted"=dword:00000005 " ]5 ^0 F; O" G) Y/ T% q! {" M
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
5 t+ k- q. H. V! f9 M" L "DisableIPSourceRouting"=dword:0000002
o# u4 ^8 \) V/ i% X- \ 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 3 Z* V9 P" R7 j, V* f
"TcpTimedWaitDelay"=dword:0000001e
! s: Y- B6 v* o, X3 W9 ^0 s8.如何避免*mdb文件被下载 ; n9 ~, y7 f* Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。
% U4 v5 x: t1 j7 n' P 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
# a/ C- J# X+ X: V) m1 t9.如何让iis的最小ntfs权限运行
0 Y6 X' E' b' Y y$ G 依次做下面的工作: % d* T* {5 L' ~3 e
a.选取整个硬盘:
7 x( \- C9 V( x- y" _4 P system:完全控制
: w6 [" o. g! ?1 w0 e" P. X: T administrator:完全控制
+ ~& q/ a* z3 Q; w' x/ y. W (允许将来自父系的可继承性权限传播给对象) . P' ^% M1 W x% ?9 Y* y( U
b.\program files\common files: . s6 W2 g M u2 }
everyone:读取及运行
, z7 q, Y; s& I& Y1 o 列出文件目录 / x. X% }, \6 c& O4 _: B- B
读取 7 t9 X' P0 d6 j! f1 a4 Q
(允许将来自父系的可继承性权限传播给对象) / ~4 y( D1 G1 y
c.\inetpub\wwwroot: 8 ^7 c7 M9 ^% x# c
iusr_machine:读取及运行 ; M) A# M3 @9 x( p Q; `9 ^# v q
列出文件目录
' z& r6 o! x& | S: P 读取 2 e: M4 g8 m5 I1 T
(允许将来自父系的可继承性权限传播给对象)
# k9 \2 Y d3 i$ b, P" {9 r e.\winnt\system32:
: Q( U! N- l! x) P1 j& Q 选择除inetsrv和centsrv以外的所有目录, 7 R1 @% D% K% {( Y6 w: C: Z( V; [
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# i4 P+ Z2 l* a5 P) ~/ x f.\winnt:
- Z- n/ T) G* {: U: _# m 选择除了downloaded program files、help、iis temporary compressed files、
1 F( g% z4 y) F offline web pages、system32、tasks、temp、web以外的所有目录
$ C+ L! x! M8 C; O' Z2 ]/ S 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 _1 O+ T J7 C3 M7 T$ I' s4 U g.\winnt:
* e2 N% S4 C& y- | everyone:读取及运行
0 W( f* C( g& n. g- G) |6 ?3 \3 J 列出文件目录
: p; k3 I% X, ]; n; r+ D. Q/ E6 [& K 读取
# s9 ]5 o+ ?8 h+ Y (允许将来自父系的可继承性权限传播给对象) - w0 T2 P7 G! k! X2 n
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
, c6 z2 w" Q; c, E- T# e$ Z- x everyone:修改 8 |6 m' @" n, d& ~( b" u
(允许将来自父系的可继承性权限传播给对象) ) F1 y+ T# z( p: ]
10.如何隐藏iis版本 # X A6 W5 ]& w
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 + e5 r. p- L6 D+ V
iis存放IIS BANNER的所对应的dll文件如下:
$ n6 {3 r& Y- D WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
+ [9 D5 e6 Q% @$ w! C2 Y FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL J$ o2 C; N0 g
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL ; V) z6 S d/ W$ v N+ F
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
6 |# l5 |# C5 E/ h 具体过程如下:
- n, B4 k4 M& Q$ N4 v' ~. c 1.停掉iis iisreset /stop
; I" G( q! k. B& `9 e 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 % ~* a8 N( r( P8 S4 o
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
