|
一位高手整理的IIS FAQ
5 W& ~ R& \! W3 f' f下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! " I4 V5 Y- n4 B5 i4 Z% `
1.如何让asp脚本以system权限运行 * I' q& |# v4 J* j
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... o8 f$ T% T6 Z" ~, E4 {, L/ U
2.如何防止asp木马 1 Q- n% @' S; T8 V" x
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
' v0 j. f! c* ~# h regsvr32 scrrun.dll /u /s //删除
% |. J7 o; Z6 o4 \ 基于shell.application组件的asp木马
+ b8 `/ R( g4 p) O d9 | cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
& W+ c# s3 A `& n6 K0 V* X) O regsvr32 shell32.dll /u /s //删除 $ t1 M% f+ ]. d9 ] A5 j
3.如何加密asp文件
" N, V* Y* E4 P: ~ 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
- K$ Q4 z" k4 b6 i 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
1 m6 E8 n, w& A7 I 运行screnc - l vbscript source.asp destination.asp
6 c w o, j# O+ ?8 U7 ]/ i 生成包含密文ASP脚本的新文件destination.asp
( t- P* d0 F: g 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 2 r1 h9 U4 [! n0 }4 V
但无法加密中文。
& k1 R* {2 ?0 _* Y7 ~; s2 t3 J4.如何从IISLockdown中提取urlscan ! ^& ^, r- e1 M
iislockd.exe /q /c /t:c:\urlscan
, v) P* ~1 e1 u9 B! A( b5.如何防止Content-Location标头暴露了web服务器的内部IP地址
o. f5 f2 h% o5 C7 `, i& L# d+ A0 q3 U 执行
/ U, ?' h( ~/ u" m* |( @! v5 y% ^* U cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' g6 G, V. |- P, k 最后需要重新启动iis
+ i h! R) e1 m. M6.如何解决HTTP500内部错误 3 V# Q) u! v' I+ v/ N9 ]
iis http500内部错误大部分原因 * |0 Y+ V0 M$ C. P3 }: D
主要是由于iwam账号的密码不同步造成的。 6 L( q, f, g$ i: c+ ^8 h) m
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
* p0 \; t# |7 S( z5 k0 P 执行
9 p1 n3 v( f7 f* D. Q cscript c:\inetpub\adminscripts\synciwam.vbs -v
9 R7 d, o& j/ n% U5 G) V7.如何增强iis防御SYN Flood的能力
$ T' [1 J! D X" r" a0 |% O+ Y8 G Windows Registry Editor Version 5.00
* X ?( s2 Q/ O8 B- W [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
4 z& I9 c4 f" S6 ^0 ?# M6 X* F 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
6 o- f/ J6 m+ ^7 u/ l% V! X$ t9 Y 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 6 j4 X; P! [* I0 y
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 6 e) P6 V2 Q) K( O3 v% s* |
"TcpMaxHalfOpen"=dword:00000064 ; x8 ^5 P" `% j
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
9 }# U* I3 ?& g0 P+ O) C. A "TcpMaxHalfOpenRetried"=dword:00000050
: \% Y! K, w0 e* s1 G# e( w 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ! {5 |* x. P$ H! w* c/ T
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ( R8 S7 J3 m! x8 u! t
微软站点安全推荐为2。
( C& B. m' r9 X: {& r "TcpMaxConnectResponseRetransmissions"=dword:00000001 / I$ q( C1 M( ~
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
9 k/ x. ~# Z' p" U+ u% s3 ^8 A "TcpMaxDataRetransmissions"=dword:00000003
2 ^! x! U$ t. n+ A& i$ }0 X 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 2 m, h O" s* d' L2 z" X
"TCPMaxPortsExhausted"=dword:00000005 ! G/ N4 U- x$ ]
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 9 n9 Z% I8 ~$ L0 d2 Y9 I; \, E% M4 _
"DisableIPSourceRouting"=dword:0000002
" G% @4 B! W5 Y; v6 E/ p; a 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ) P B! F/ l- Q! W- r1 d7 o1 t# {' a
"TcpTimedWaitDelay"=dword:0000001e 5 ?0 o. A: S% Q* a# K
8.如何避免*mdb文件被下载 " V2 ?$ A7 y; @% g
安装ms发布的urlscan工具,可以从根本上解决这个问题。 ( A4 I- q! |% a$ t5 y) Y
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 - n! z) r1 ^; @6 R$ Z
9.如何让iis的最小ntfs权限运行
; W; c2 [# m7 r+ R" s C4 }- ` 依次做下面的工作: % _; Z8 [9 i# X$ W1 U+ t' H& V. L
a.选取整个硬盘: 2 C' _; D+ w C& o
system:完全控制
9 R( y1 i* y' C9 M7 ~9 ~. R9 j administrator:完全控制
3 m/ _; _; E# z( G1 \( a- h* V6 [ (允许将来自父系的可继承性权限传播给对象) # J1 |. h' I0 I8 m5 @
b.\program files\common files: * O' X' j) ]9 Y
everyone:读取及运行
/ a5 S, I+ a" u) T 列出文件目录 2 l( i" M- N* r% q" i& u( a* D* R
读取 - y# {- ?# a/ H* O5 J
(允许将来自父系的可继承性权限传播给对象)
; S- h! m2 l& [8 F c.\inetpub\wwwroot: / n, o8 A4 A2 j. q" V
iusr_machine:读取及运行
) x# \& k8 m* g 列出文件目录 7 g# v/ L4 c7 n7 h: P& F
读取
' \& [, G3 R6 S: z, I2 a4 ~) c (允许将来自父系的可继承性权限传播给对象)
; P+ P8 S+ u; J+ s$ t e.\winnt\system32:
& k: |' B% O* w( D$ E 选择除inetsrv和centsrv以外的所有目录,
$ E# |$ l B0 u8 I1 w1 y( m5 O 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; P) y9 @ y( g f.\winnt: 5 R1 A3 [. [7 m$ j" P7 Y, `
选择除了downloaded program files、help、iis temporary compressed files、 0 Q( F5 M- @& b! ]4 ^
offline web pages、system32、tasks、temp、web以外的所有目录
6 E9 r( K' Z/ K3 ^+ y# s, E. P 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 0 H) l+ F4 A& B* m! x; ^& E+ b
g.\winnt: 2 P6 t1 h( l. h1 B
everyone:读取及运行
3 X$ T3 _4 [5 }8 A- K' h 列出文件目录
* G0 `( k/ Y! n# i2 C 读取 * H+ |( J2 k9 d% ^/ |6 Y4 y& ]
(允许将来自父系的可继承性权限传播给对象)
' I5 f1 \# q5 R) t' ? h.\winnt\temp:(允许访问数据库并显示在asp页面上)
2 G' J) z7 f; a( l, v; j everyone:修改
* s( p# }2 P& l0 t* m8 G (允许将来自父系的可继承性权限传播给对象)
: m' j$ Z' o5 P& J1 h10.如何隐藏iis版本
3 K) B7 `$ k# E" j2 d, p! r8 |+ b 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
0 y+ Y% g9 d9 s) q iis存放IIS BANNER的所对应的dll文件如下:
5 K; d- h9 k! A WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
Q6 Z" i. O; ]7 } FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
+ w% q, {; s/ _/ |5 X& Y- t8 j SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
2 w7 r9 E" H; I' Y8 G 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 1 q0 n# J& ~5 ]& ~
具体过程如下: " Z9 S$ I: A; S5 A3 s
1.停掉iis iisreset /stop
n- D, h* _' ]2 |9 i8 P( [/ j% q! q 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
; A5 V# e5 N |& D# Q @% V. G 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
