|
一位高手整理的IIS FAQ
1 ] w) Z$ k/ O$ J( C, j4 Z' D下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 4 m! a; \2 v" ~: ~( ]
1.如何让asp脚本以system权限运行
8 j7 D3 V* g* [$ ]6 q+ L% Q 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2 w8 @) \& ^$ ^+ I( W2.如何防止asp木马 # J) h, p U; P' X" [. f7 r
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
6 m4 K& `, I) Z$ o$ ^. [ regsvr32 scrrun.dll /u /s //删除
+ V& F, V% O$ g# P 基于shell.application组件的asp木马
7 D/ o3 v+ t/ |# P" q6 E$ b cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 1 X! V. P* W0 u( a! z" W: g* T
regsvr32 shell32.dll /u /s //删除 4 _ t, Q* v& s
3.如何加密asp文件 9 {4 ]5 z" P6 O b6 G# O+ Z
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
1 ]2 [# ^6 t8 N( x 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
7 H& d' }' R) f `: f3 W 运行screnc - l vbscript source.asp destination.asp
0 U& }) T2 J [( {. e; N9 `" Z$ x9 { 生成包含密文ASP脚本的新文件destination.asp
y; `' L W) p O 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
" @% C! @0 \- C P* e6 p$ T6 r4 z( a 但无法加密中文。
* d2 g# f5 f1 T, E; S2 \4.如何从IISLockdown中提取urlscan
: {; J' c! C( ^( t/ v iislockd.exe /q /c /t:c:\urlscan / i* C) l7 n) N! P
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 4 @0 B4 ^7 K# x1 f( P+ y4 c
执行 * }2 l% F8 x. j* W- u8 r
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
1 r! C! R9 B3 k* F6 F* f2 s! R3 } 最后需要重新启动iis * P/ M9 Z8 T/ n! v
6.如何解决HTTP500内部错误
, x2 K" c9 ]9 j& ]; t: N2 _ iis http500内部错误大部分原因
8 m! P; i) C* ^# o4 t 主要是由于iwam账号的密码不同步造成的。 ; M+ C5 l" w2 C7 M
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 & \3 v5 j* y# a1 J# S$ E
执行 ; ?# ]8 f. g2 u3 S2 [# v" c: @
cscript c:\inetpub\adminscripts\synciwam.vbs -v , X: ?) f8 `) P0 t0 {* n
7.如何增强iis防御SYN Flood的能力 3 B! `) w$ O) J
Windows Registry Editor Version 5.00 ( J: U3 P* a1 k- n5 E( h/ c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 8 @/ Q- i/ L" |0 V( r: e
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 6 P, T: g \% Q! m/ a& |# p
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
: ?4 P# g2 v" z "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 * D& q1 y. [2 I; C V3 i, D
"TcpMaxHalfOpen"=dword:00000064 1 n; n8 `. `, N6 N5 u1 M
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 , r$ W6 t* y& ^: j
"TcpMaxHalfOpenRetried"=dword:00000050 ; z/ t2 y( Y7 I( R
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
. H+ k* z9 V8 Z+ U, Y 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
1 H) u- @5 G" |9 ^% B) X" v* \ 微软站点安全推荐为2。
i( F) W- i7 H" M "TcpMaxConnectResponseRetransmissions"=dword:00000001 - m& L* X- s0 V. z/ {
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 5 l$ ~7 }6 d X" p. }
"TcpMaxDataRetransmissions"=dword:00000003 % p3 {5 Y& [4 W' }
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 , u2 n! \3 _/ x$ d' c3 {
"TCPMaxPortsExhausted"=dword:00000005 0 k Q% t9 g. s3 J( o8 e& T8 v
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 , U7 C5 j" J! L; y; A5 w
"DisableIPSourceRouting"=dword:0000002
$ j9 n- ]; O9 A$ u 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' Y2 Y: }& @1 A& O* c& p "TcpTimedWaitDelay"=dword:0000001e
. m; T" F' N. r% R. T1 E% b8.如何避免*mdb文件被下载 5 Z( q. D# @; F7 g
安装ms发布的urlscan工具,可以从根本上解决这个问题。
3 F6 L: O+ g$ N3 r 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
1 }/ v. x4 G' h% g% d5 S. ?1 N9.如何让iis的最小ntfs权限运行 ( [" k) T; V$ {: W. h4 n# |3 F, @/ C% f
依次做下面的工作: & j' g Y8 O& K! G5 q2 j; H
a.选取整个硬盘: # r& H1 E" C1 `$ I( n( w1 X
system:完全控制
/ y- O0 [; ]3 n; N, ^ administrator:完全控制 + I0 A; _2 [" {6 ~0 ?6 U
(允许将来自父系的可继承性权限传播给对象)
) }4 S9 O& O! t/ ^/ h9 _ b.\program files\common files:
, }& L* W; c; d1 N4 K! ` } everyone:读取及运行 * O$ E9 i3 @1 F+ j
列出文件目录 . q, J* j8 W [5 p8 ]
读取 * h- S' u/ B, N1 S' e* g8 N- ^
(允许将来自父系的可继承性权限传播给对象)
: ~! \9 P- K K* c8 g c.\inetpub\wwwroot: 3 ^, ^. `' j1 j1 A9 a- ]* y4 q
iusr_machine:读取及运行
: {- K0 a) K% D 列出文件目录
; i) L, a; U1 S) }8 G9 ~) f: e 读取
. R+ M: J; S1 f6 x: m" a (允许将来自父系的可继承性权限传播给对象) & Q. k8 F8 ~& @( V" m0 k/ U
e.\winnt\system32: ! l# q3 q2 v$ b( Y. y' w" u
选择除inetsrv和centsrv以外的所有目录, 6 |5 ]. g( a6 G2 r+ }: M
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 H/ ?- t" b' z7 c. F$ s, V2 ~ f.\winnt:
1 N e O* s5 h& t( i1 H z2 h# O 选择除了downloaded program files、help、iis temporary compressed files、
* Z( g6 q& ^6 \ offline web pages、system32、tasks、temp、web以外的所有目录 9 F# S: A2 `4 o5 j( d
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& I* \8 _9 |% p* P5 Z g.\winnt:
& u4 {/ I+ N7 s! I8 n; E* f& Q everyone:读取及运行 9 U2 ~8 }* D) g0 b1 q
列出文件目录
* Y4 s& ^5 m, Z1 W9 ` 读取 * V) \. B. r/ t/ f: {/ X
(允许将来自父系的可继承性权限传播给对象)
0 D& N+ Y. d9 q+ A h.\winnt\temp:(允许访问数据库并显示在asp页面上) , C/ @8 N; w. l1 @
everyone:修改
' E% X' L1 C8 D2 s! h8 k (允许将来自父系的可继承性权限传播给对象)
% P" X/ y0 X5 ~3 Z" P10.如何隐藏iis版本
9 B6 q5 B, S# A1 W5 s8 F 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
9 w$ I! ]! S+ O1 D( i/ m iis存放IIS BANNER的所对应的dll文件如下: 2 r: l/ o) Z7 a* c7 }) I e
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL & G) ]6 J# R5 S. c1 x
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
A7 t3 P, M6 S' F8 B' b; U9 r SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
5 ~& D0 D% l7 J( ]& p) a 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
; }* I, x5 K7 ^0 } 具体过程如下:
2 _ d: U* [& Y( ` V; ^- Q! R* ] 1.停掉iis iisreset /stop
' b1 K* s" W1 }$ ~' a3 u0 w 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 : X0 m% q; `" S$ y$ h3 h
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
