|
一位高手整理的IIS FAQ
- }4 K5 ^+ M" i0 `* l下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! " G$ ]" {7 d' \- H) K
1.如何让asp脚本以system权限运行 # B- ~7 Z/ J. P% q
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
; R$ e1 I+ | \$ B2.如何防止asp木马
+ f, A+ ~$ i0 D ~ 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 ' C3 e+ y5 g/ H
regsvr32 scrrun.dll /u /s //删除
' n- c$ k+ H" [+ M- U% r$ c 基于shell.application组件的asp木马 ( V- Z9 {6 v; D. C, Z% f* o
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
! g z' }* B% U( h4 U, V) S regsvr32 shell32.dll /u /s //删除 ( \( S4 G# S1 E
3.如何加密asp文件
0 N& \/ H' F) d" Z* t/ p# \: y 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ; p Z$ c: J0 [9 D* w1 t) [
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, Z0 p/ L& y* l# J3 ] 运行screnc - l vbscript source.asp destination.asp
* {1 j/ `2 h; o2 A& F1 e 生成包含密文ASP脚本的新文件destination.asp & K5 ~8 X* }1 Q3 W. Z0 j. }
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
4 k& k1 C- `0 b% o6 l: |" R. h 但无法加密中文。
5 t, X- g* y4 r* a4.如何从IISLockdown中提取urlscan + t# y. r& C. W; [$ D! G
iislockd.exe /q /c /t:c:\urlscan ! D$ B( D6 |- R4 C! m% G% q2 N8 P
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 4 C2 D( ?" y2 M: |! U5 w5 ^- |
执行 : d' q6 g. i3 m$ K! {3 d
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
! d. x3 R4 ^: K- o# q/ _2 t0 f0 | 最后需要重新启动iis
* J q7 x6 a8 X9 q' T# L" Y# f2 R6.如何解决HTTP500内部错误 ! {& A5 S3 d/ f/ J
iis http500内部错误大部分原因
8 } X: [- W2 L; H2 Y- @# ? 主要是由于iwam账号的密码不同步造成的。
9 a% a/ i7 M4 {5 L. u' l 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 % L4 ^0 d. z4 j' F' H' d5 V
执行
5 k& G3 W( w4 g. m. ` cscript c:\inetpub\adminscripts\synciwam.vbs -v
5 T. e7 _2 N( q# ^! V7.如何增强iis防御SYN Flood的能力
8 a- J7 p8 F* t Q Windows Registry Editor Version 5.00 7 |2 t$ ?/ \* c0 r8 c1 o) N& q. t% A
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] + y% i7 }+ _" u( H% j7 p+ s
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 & [7 `. w7 g) |6 z" j: x
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
0 J4 A& L& ?9 F* Q$ Q* X "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- Z6 O6 |+ x' Z% D+ f' L' b# N "TcpMaxHalfOpen"=dword:00000064
; X" j$ ^( U( F( J0 `1 \ 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
- ]7 D* p% V; n/ a5 Y "TcpMaxHalfOpenRetried"=dword:00000050 1 _6 z) }5 C$ u8 H4 Y: [7 e7 b
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 5 x1 J) [1 J4 u: ]& k
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
$ c9 \, O( P* C& y8 N( D" V 微软站点安全推荐为2。 : u+ w2 G0 K3 G$ q$ l( n
"TcpMaxConnectResponseRetransmissions"=dword:00000001 + ?! [( ~& v* K" A* C+ h
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ' E; |' i; H( H9 F5 ]
"TcpMaxDataRetransmissions"=dword:00000003 . }. T: @% C% z! t
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
& L0 x( R2 M# Z. A' Y. G- u, ?/ X# k "TCPMaxPortsExhausted"=dword:00000005
* |0 I0 K. [6 l4 Z3 O2 [ K 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 : \5 i' u; }4 C3 q
"DisableIPSourceRouting"=dword:0000002
. B9 _- u' [7 y0 O/ J 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: o4 D( J. \: X- A$ n "TcpTimedWaitDelay"=dword:0000001e
! a7 j8 W/ r0 ?" m: v& ~8.如何避免*mdb文件被下载
+ r( e& g# g! ?; }6 a9 y( ~2 O! `/ r 安装ms发布的urlscan工具,可以从根本上解决这个问题。
! k# `# r0 F* o6 t1 W# I 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ! w6 x4 K q" I6 t8 G( U
9.如何让iis的最小ntfs权限运行 A" m# X, N0 N3 |$ [
依次做下面的工作: + y1 O; z, k2 F$ l3 j( B
a.选取整个硬盘:
# w/ ~3 P. `1 y- g system:完全控制
! D8 j1 j9 m0 |7 v; i- T+ k5 M administrator:完全控制 8 }3 m# O- m. g7 G
(允许将来自父系的可继承性权限传播给对象)
7 T8 d# G2 D9 t* w4 h b.\program files\common files: * I& I& r6 L. m
everyone:读取及运行 4 x: `$ x, l b% f2 i$ B2 \0 [
列出文件目录
+ x7 I; S' F$ y! \( g% _( G6 E1 J 读取
5 M, ]( q7 f* S! Q" s (允许将来自父系的可继承性权限传播给对象) 9 G% Y: U& h) r& u
c.\inetpub\wwwroot:
0 @" q7 P$ K+ v. k iusr_machine:读取及运行
s( h0 u) k) D 列出文件目录
" ~" g) r0 T3 h8 W 读取
5 L/ ?0 Q x1 z (允许将来自父系的可继承性权限传播给对象)
% h4 n! H8 x: {" }7 ~ e.\winnt\system32: 0 A+ g* ~7 a c. z1 H6 g
选择除inetsrv和centsrv以外的所有目录,
3 c* ~! J9 m- [/ e* |2 Z8 y9 N 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 M! i. X: s4 ]4 _ f.\winnt: - f5 H. Q' \ d2 e: m
选择除了downloaded program files、help、iis temporary compressed files、 5 t5 {/ w7 N+ p+ A' X1 U: B2 `
offline web pages、system32、tasks、temp、web以外的所有目录
* {0 Y: c/ W4 | 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
\0 Y' g+ J; r g.\winnt:
. L; p& T9 y. i; l, ~0 ? everyone:读取及运行 ! q6 y4 E7 L* |' E. E+ `! x) @ g
列出文件目录 4 p+ Q% n5 i9 V8 b, V
读取
5 d* T8 \2 ^/ Q9 f, h$ r (允许将来自父系的可继承性权限传播给对象)
! b5 m- R8 n, {* A h.\winnt\temp:(允许访问数据库并显示在asp页面上)
7 y# A( u( ^- q& W* j4 v everyone:修改
% P2 ~8 D8 c# I9 F: J6 z (允许将来自父系的可继承性权限传播给对象)
1 d: j0 c4 B+ k) f! z8 k10.如何隐藏iis版本 : E p+ w" j. R' X$ L% Y0 d9 E% a b
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
, H% j, Q" {) ^" i2 O- Y iis存放IIS BANNER的所对应的dll文件如下:
X4 m& Z3 D# o! U WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL . P/ |$ U$ t) s s$ w( d( Z3 G
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
2 S* _* f+ q' C) u$ O SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
( H# C2 ]; ]) ]# ^/ k# M 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 3 _& g; Y7 ~5 N+ m
具体过程如下:
: D: V3 f6 a' j8 Z- u- y( n 1.停掉iis iisreset /stop
! C V/ ]& b- s 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 , o4 G- T/ t8 G7 x! {, h
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
