|
一位高手整理的IIS FAQ ! M' {4 a+ U8 r, }( e* V
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! # L! ^; d+ Y7 Y" |: O5 x, H
1.如何让asp脚本以system权限运行 * G, T4 K" E0 E$ T9 ^$ s
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 4 H# r8 K5 k$ [. V4 t# q
2.如何防止asp木马
& D n- j: V: Q5 g6 G# D7 \, r9 b 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
t5 Y U; i0 k K8 e regsvr32 scrrun.dll /u /s //删除 * H3 i; n% e, q5 G2 X
基于shell.application组件的asp木马 ( W1 X% T9 A# V" i7 ]5 P+ M [# S
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
5 _" y- ~4 s$ U regsvr32 shell32.dll /u /s //删除
9 X3 r0 r9 l" M+ H" U3.如何加密asp文件 $ q. z5 o& o. D: T
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ O& m4 i4 {# X/ [1 f, B 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 5 G+ {+ y. [' k7 z. \0 x' {
运行screnc - l vbscript source.asp destination.asp ; A* v- x+ l+ v3 ?
生成包含密文ASP脚本的新文件destination.asp . \% ]& c& ~! p$ t# Q b5 L
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 ! @' ^8 t6 u( U1 \! w1 M$ n- N) {! |
但无法加密中文。
, z3 d$ l9 h0 {4.如何从IISLockdown中提取urlscan
% g( }! K e/ q/ z iislockd.exe /q /c /t:c:\urlscan
3 e3 `: X [0 m5 X5.如何防止Content-Location标头暴露了web服务器的内部IP地址 2 _9 X8 v1 A2 Q
执行
4 ?5 p% \6 w% _4 Z+ Z cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
+ o7 ]3 I7 x" u% P$ ^5 i 最后需要重新启动iis
* r+ \) T# B- C$ N% i! k8 E6.如何解决HTTP500内部错误
; `$ ?9 g2 e- ~, |/ w P, F iis http500内部错误大部分原因 ( j/ ^2 k$ O$ ]( }# }* R. [
主要是由于iwam账号的密码不同步造成的。 0 E& O. k/ ?. \
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 & m1 U2 Y4 q5 m9 z. u0 D1 T
执行 2 a6 ^' J: d* V+ G" a s d
cscript c:\inetpub\adminscripts\synciwam.vbs -v ' G" `; n1 s- N! o9 [+ B4 R4 y
7.如何增强iis防御SYN Flood的能力
" e$ G3 u& f( A& _ Windows Registry Editor Version 5.00
2 z! l8 P6 r4 H# ]* l [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] - E, Z2 H$ G1 D8 G2 e9 {' k* E" B
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 7 P/ o9 \0 j; d: a
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 5 g4 i0 h6 g! E3 }3 o6 m
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 1 T, S; |1 g: ]* r3 B
"TcpMaxHalfOpen"=dword:00000064 : E, D$ _ R" S
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 " {$ I; a; P6 Q) w6 Y8 j
"TcpMaxHalfOpenRetried"=dword:00000050
) j$ e( r5 {/ |4 s Y 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 $ w3 Y' H9 K: R, l8 D
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
: X0 Q5 ~6 q3 P. J. x% B 微软站点安全推荐为2。
7 e8 r3 t, f5 s "TcpMaxConnectResponseRetransmissions"=dword:00000001
" n% ]* g- g4 A- } 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 & P0 [7 p; W- I0 N; o+ O S
"TcpMaxDataRetransmissions"=dword:00000003 ) e: l' h8 h! K/ k0 t5 R1 A; _
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 ; K/ o' i8 U- V( K0 {
"TCPMaxPortsExhausted"=dword:00000005 6 V0 M: F+ f: @/ \1 u
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
; [2 I: [7 x* j; j "DisableIPSourceRouting"=dword:0000002 " O. [% U7 E9 |% z, j4 p* r" r
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
" j: b; t5 V4 }; w! X! j "TcpTimedWaitDelay"=dword:0000001e + d( M" t9 S/ O, T* \
8.如何避免*mdb文件被下载 # C$ q) N5 f) v+ {* p
安装ms发布的urlscan工具,可以从根本上解决这个问题。
, D& B% P4 l/ r% C# \- G 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
|- [$ b2 J3 u8 ], o5 z9.如何让iis的最小ntfs权限运行
. m7 C9 l6 C/ f4 A! V! }2 F 依次做下面的工作:
- [! o: Q, {4 G, [ a.选取整个硬盘:
* K2 r$ O0 J1 P/ B system:完全控制
, b" v6 a7 z3 N5 _3 C4 V administrator:完全控制 2 {% S8 I F9 w8 t1 s
(允许将来自父系的可继承性权限传播给对象)
( t( i. d. a% r8 B, e. z: s b.\program files\common files:
8 x7 [, S; U8 Z g8 U' T* K+ n6 Q everyone:读取及运行
& Y h& h, N6 `/ S5 ^ 列出文件目录
' q' d/ ?' @& Y* t( L' z/ G 读取 $ H1 a: @! i. `/ g
(允许将来自父系的可继承性权限传播给对象)
1 A; x# r2 l7 u3 s0 ` c.\inetpub\wwwroot:
( M( Q7 h+ m; }$ k% x3 c1 G0 Z iusr_machine:读取及运行
# |$ U l+ r/ n1 U4 D" ]. |( E 列出文件目录
; A( ~- u1 [6 ?) M' \ 读取 : Q8 Y o/ ?3 h c. R+ t$ p5 p- E3 B' q
(允许将来自父系的可继承性权限传播给对象)
( u# o e, C" p f e.\winnt\system32: ' A. I) d6 ~4 b* I8 E+ J7 p+ g
选择除inetsrv和centsrv以外的所有目录,
6 Z/ {( \) l8 p, [ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
0 K3 F# v, f& l+ h1 Q+ E' n f.\winnt:
3 \; X) k& c( n5 _8 S 选择除了downloaded program files、help、iis temporary compressed files、
* y5 _+ Y' S" r$ b- t; H! e' _ offline web pages、system32、tasks、temp、web以外的所有目录 " y( s2 D% L4 |. S
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. ~6 o/ H4 v8 g4 x$ l8 ~ g.\winnt: " C, U& M$ L. }5 k
everyone:读取及运行 1 z z: y" S4 P- {4 }! A5 [
列出文件目录 # R8 f+ y% p. `
读取 0 |# d, ]4 |/ u4 Z7 ?; R" T
(允许将来自父系的可继承性权限传播给对象)
9 M% g; O7 x% h, @$ K# r* ^ h.\winnt\temp:(允许访问数据库并显示在asp页面上)
2 x `4 P1 a0 r2 G( M, n- U# d everyone:修改 # |0 x: |! `1 b, ], [
(允许将来自父系的可继承性权限传播给对象)
3 B( P, E9 O' e6 ?10.如何隐藏iis版本
0 c9 V' `1 ]/ o* h 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
$ G3 L/ {, W* ^5 p+ H iis存放IIS BANNER的所对应的dll文件如下: ) Q- ~$ _ z. i
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 2 T6 a' d/ I# x: k* P6 V
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL - O7 K; }+ y# m* i# }0 L
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL / i- @0 `& ]4 ?
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
; W4 m- z! S& C% B: e" E2 f& N 具体过程如下:
3 r* {( A# \6 e N" a 1.停掉iis iisreset /stop
) x* B! n. z1 u% T 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
; s, ?. J/ E. a; }8 K% s 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
