|
一位高手整理的IIS FAQ
! r0 j4 P1 j5 C1 o下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
4 x0 D' T. ~5 \% _5 ^ i1.如何让asp脚本以system权限运行
6 m0 S2 z6 h6 i' n 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 4 N. C3 ?/ L; G* q. W- k
2.如何防止asp木马
1 i7 o8 _1 c& l/ v 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
8 ^* d/ W. J# B) ^ regsvr32 scrrun.dll /u /s //删除 9 a" ~) ^4 @8 k' z
基于shell.application组件的asp木马
! }. H% B" q% V cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 ! N# M9 r; j% N2 h& R# }' R
regsvr32 shell32.dll /u /s //删除 9 D( l$ B) Y. ?3 b2 t& v h
3.如何加密asp文件 ' K9 s+ A* P# l$ z$ e
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
i, M. r; ~' K0 R- A 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ! e/ W: H2 I. \( H0 d! }; S
运行screnc - l vbscript source.asp destination.asp
5 [4 W8 v3 ]! v% z+ F 生成包含密文ASP脚本的新文件destination.asp 1 g8 X6 x( C( r& h7 l
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 5 A/ Q; F9 S1 G- ?* e* u: a
但无法加密中文。
L3 F. h! c. w! y8 q4.如何从IISLockdown中提取urlscan
; N+ G0 \, `: Q6 R* B iislockd.exe /q /c /t:c:\urlscan
- r$ R7 z7 D4 ]$ J8 K- W$ m$ e) C5.如何防止Content-Location标头暴露了web服务器的内部IP地址
: p2 Q1 f: c6 ?, D 执行 & C8 Y# o& B" e2 F k* S
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 1 [8 \8 U; L* S/ d
最后需要重新启动iis 5 M, P( q% s% V8 x1 b# V
6.如何解决HTTP500内部错误 : K0 a! m& ~+ \* A8 }+ O* l
iis http500内部错误大部分原因
, h7 w) s, r u2 d6 f 主要是由于iwam账号的密码不同步造成的。 ! }" ?. J! A7 s$ \2 \% s6 S, @
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 : h* C0 x* i5 T& R# @
执行 $ ^6 s' j( l6 Y- U& N( _; |7 p/ t
cscript c:\inetpub\adminscripts\synciwam.vbs -v * _, b& w8 }& J, u
7.如何增强iis防御SYN Flood的能力
( Y% F* d6 S' N7 S' a Windows Registry Editor Version 5.00
. X+ [" n; s* S; K) \& j! r [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ; `% T/ r! S) {; [! T
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 3 o5 T# }7 o/ `- u% d
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 * ?" @- ~. A( ?' E8 o" r: m
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
! f6 i4 ^6 n6 }; v1 O# M "TcpMaxHalfOpen"=dword:00000064
. G) @/ r- H) `0 g- h% y/ ^ 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
% z9 n' X7 G8 }: ~4 N; P "TcpMaxHalfOpenRetried"=dword:00000050
( w- T5 O2 `. | y 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
9 _4 E. K$ L4 ]* |4 F 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 4 @3 |/ V$ L% L
微软站点安全推荐为2。
2 q& {$ I3 E1 D3 y9 q! N# g "TcpMaxConnectResponseRetransmissions"=dword:00000001 ; @# u% Q' h* P: T% k) ]$ u
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
% {9 t& N7 o8 V# L* p "TcpMaxDataRetransmissions"=dword:00000003 $ v8 W6 @! o9 U
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
' h. H4 \; P7 d" a9 D$ o7 | "TCPMaxPortsExhausted"=dword:00000005 ( J' z' y! b" _% J; B
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ! h, O% k1 [/ j3 w3 _
"DisableIPSourceRouting"=dword:0000002
' U3 s* r' A+ j% k 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
5 p8 C3 e7 g& O3 a0 J' |$ ^ "TcpTimedWaitDelay"=dword:0000001e
* G& t1 _0 p6 h8.如何避免*mdb文件被下载 9 ~! ]6 ^6 T6 l) l! _0 L
安装ms发布的urlscan工具,可以从根本上解决这个问题。 0 k/ p1 G4 Q2 ~, t( u
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
/ u" H+ X3 ^2 C8 A9.如何让iis的最小ntfs权限运行 8 b7 v# x, x' X0 g7 y
依次做下面的工作: / O! h N; U! m2 k
a.选取整个硬盘: & M; u) ?# O4 |- L7 N
system:完全控制
2 t3 F2 ^" B# D8 q+ b; T6 {1 u administrator:完全控制
( L' o4 z5 K* `+ E (允许将来自父系的可继承性权限传播给对象) ( e3 n" o$ e7 k# I
b.\program files\common files:
# t' O; |0 m+ T, ?( l7 o3 N2 T everyone:读取及运行
( Z/ k. t! }7 u; w9 s7 c2 j 列出文件目录 2 x. b9 q' ~3 {. B# [ J0 W
读取 # _) U# m4 B/ ~. z7 y
(允许将来自父系的可继承性权限传播给对象)
4 {# g* [$ k. H" c9 P c.\inetpub\wwwroot:
( p' R( M* C0 f: I iusr_machine:读取及运行 7 a4 I& @% y D' {6 f
列出文件目录
1 f6 N; U9 U- z% B; [, b& p! ] 读取
7 A3 r0 j( h) }8 M (允许将来自父系的可继承性权限传播给对象)
: P/ S' S ~9 n e.\winnt\system32: 6 F5 A8 `2 }4 q; B/ \
选择除inetsrv和centsrv以外的所有目录, 2 M% _# [( v: h c1 n
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# j2 f) ~$ R3 W! K6 B f.\winnt: $ V$ o! n9 z' _: R! C
选择除了downloaded program files、help、iis temporary compressed files、 $ E% ]8 h$ H) `+ E6 m$ ]
offline web pages、system32、tasks、temp、web以外的所有目录 * R: B# U+ t' [) g
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 8 l ]6 [5 k6 D, w6 {7 s6 p8 A. _
g.\winnt: ! F) S* B; }- A0 d) _" u; j" E
everyone:读取及运行 1 g V& |& a) G2 C, b- ~& T, R
列出文件目录 , b. |% q" B" ?" u3 d
读取
/ ]. ^$ M% l1 z# C) U n/ A6 S- I (允许将来自父系的可继承性权限传播给对象) , ?" h/ |) K/ o
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
7 O4 b: }4 h8 a! F' R everyone:修改 4 p: ~) R( a: z. {" M
(允许将来自父系的可继承性权限传播给对象)
. a r* j( O _8 c, w+ B10.如何隐藏iis版本 * W# f5 ?0 u7 G: e4 H9 ~' u
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 , t( q+ ]% \8 j4 @
iis存放IIS BANNER的所对应的dll文件如下: 5 k k+ G& z9 Z* g! `. {
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
D1 _9 u& V* q. q* M FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL % q! ~' Q$ T5 a j; Q/ _$ a
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL " C4 I+ {6 e$ i8 |* {6 S' m& @
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 + w7 p# o I# I, P
具体过程如下:
* l( E/ t; y4 D% s4 ~" B2 m4 f+ | 1.停掉iis iisreset /stop
" v) z; o% @) l 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
9 s8 V+ g! E+ {1 p4 @! r; k! [+ m 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
