老秘网_材夜思范文

标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ [打印本页]
作者: 中国老秘    时间: 2010-5-10 17:00
标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

一位高手整理的IIS FAQ

6 c, l( _$ `( ]: d; m

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

3 X6 y, G2 {% p8 K6 ~1 X% ]

1.如何让asp脚本以system权限运行

! E- \* {- r( N* u% @0 |" f

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

7 K& b W" q' I; P0 Z" V F, g

2.如何防止asp木马

, W+ m f+ n) B& V, z. l

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

$ O0 k( z$ }9 e+ q3 V5 _' I

  regsvr32 scrrun.dll /u /s //删除

7 n( ~. L% u J5 {

  基于shell.application组件的asp木马

6 l' L+ K1 U: b c: v- y$ u

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

) z( Z; w- q6 E& e, T2 @

  regsvr32 shell32.dll /u /s //删除

* {1 y+ v9 E& V5 C

3.如何加密asp文件

: `8 B7 l! f9 X6 c! ~$ f0 f: S

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

) t& L" t% c) c1 U" ]9 x: X& D

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

- j% H- j; P! E% M' p4 m. o

  运行screnc - l vbscript source.asp destination.asp

) I) [1 w g) Z" V) Z4 ?" x) Q

  生成包含密文ASP脚本的新文件destination.asp

; ?( Z1 _5 I- R! Z$ }+ ~

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

6 u. z% C7 d! l( U9 o9 Z: \

  但无法加密中文。

+ x. v% x' o7 _! L

4.如何从IISLockdown中提取urlscan

% e) m. r& H/ `# R8 ]& |

  iislockd.exe /q /c /t:c:\urlscan

3 u# H+ u }% N/ n, ?8 o

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

' l% [/ h% F# T' E' I E1 B1 r3 [* [: j5 T

  执行

/ S# o& [8 `$ Y

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

! r$ W: E1 i. b8 a" h, I

  最后需要重新启动iis

2 s- i1 u/ J. h0 U* v- e8 J0 [' D

6.如何解决HTTP500内部错误

7 ^. ~+ Q8 u- f5 `

  iis http500内部错误大部分原因

: w0 H& l3 l K' m) N' |

  主要是由于iwam账号的密码不同步造成的。

) K/ D$ ]0 z* v

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

/ \; N+ P9 g0 X6 t$ K! d

  执行

! ~5 P' g) f, \7 c

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

1 J; s# Y& u: v2 Z" O f% n: h5 r

7.如何增强iis防御SYN Flood的能力

0 B0 ?" P$ q, y! |7 G4 H* m

  Windows Registry Editor Version 5.00

! h. k' T: Y! X

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

5 I" R7 a& Q! q

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

& _4 p5 o/ Z2 m& P0 G: J

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

+ a& l; L6 L j' [/ \; T0 H1 V5 ^

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

3 J9 w% e) E% L

  "TcpMaxHalfOpen"=dword:00000064

5 x Q/ s) f* T6 B" A3 G& e

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

' @/ ~0 O3 a1 o6 f# \1 c

  "TcpMaxHalfOpenRetried"=dword:00000050

8 D9 @& G3 X8 P! I' l7 k

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

2 N6 {& e' {3 @) B& R( D }

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

& j, z8 e8 a. o7 W

  微软站点安全推荐为2。

# ~ D4 U/ k. X9 V, @* `" m4 l

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

, E( e$ W+ Q r( R( g

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

' F2 }: a. ~4 m7 F5 t

  "TcpMaxDataRetransmissions"=dword:00000003

/ C5 W! k% S! B# C a5 ^

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

6 J* @9 x9 d. G9 k- G

  "TCPMaxPortsExhausted"=dword:00000005

0 k: A% ]* |0 B' ?& G: q

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

7 m+ m2 R& a7 w+ K

  "DisableIPSourceRouting"=dword:0000002

+ z# `$ o1 w, z9 a, q/ \2 e

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

7 w$ m- [9 g* v0 e0 Q

  "TcpTimedWaitDelay"=dword:0000001e

9 \6 q/ L) p2 o& w& x; L

8.如何避免*mdb文件被下载

2 V( ^. y1 I) Y8 n! Z/ ~" _" y/ N

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

6 b) X, d3 ^9 V

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

! x) `2 x$ V: @( w2 A

9.如何让iis的最小ntfs权限运行

& [8 s7 b* z( V& Q' D/ v

  依次做下面的工作:

& |# _. B6 l3 c' B

  a.选取整个硬盘:

6 t! O1 F3 t" j; u( g

  system:完全控制

4 G5 X) U) I$ Q. O, u

  administrator:完全控制

& { v P8 o E

  (允许将来自父系的可继承性权限传播给对象)

$ l3 w1 B$ {7 s+ P

  b.\program files\common files:

. h7 N$ D7 h8 x; Y/ s% ]3 J7 @

  everyone:读取及运行

* F1 g5 S& j a3 `: G1 o

  列出文件目录

- v/ {5 ] w, z4 y9 _' J

  读取

! Y% L8 r8 p: Z! h" s2 g, w' U2 k

  (允许将来自父系的可继承性权限传播给对象)

% ~$ F1 g* ]3 x( D- e

  c.\inetpub\wwwroot:

- K2 L+ C/ _4 |8 G

  iusr_machine:读取及运行

6 V( r7 f/ Z4 g- t$ ~% B

  列出文件目录

4 p- D2 M6 k; E' O7 X3 y+ }

  读取

4 @. l2 c! ^+ [/ d

  (允许将来自父系的可继承性权限传播给对象)

, G+ o, p; E; p

  e.\winnt\system32:

3 Z P# o8 A( ^( s5 {3 @* C

  选择除inetsrv和centsrv以外的所有目录,

q% Y5 A; N9 ]! }% G' G/ I

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

. E" ^9 r0 ]# N* o' x2 C

  f.\winnt:

: X5 V: m2 }- E& F) b- _

  选择除了downloaded program files、help、iis temporary compressed files、

2 }7 A6 ]" \0 e" v- g

  offline web pages、system32、tasks、temp、web以外的所有目录

, \/ Q( Q! _. j

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

X& s" k: q5 H4 z! L% T

  g.\winnt:

+ m$ V8 G& P M3 v& c. B) `# f

  everyone:读取及运行

; P) P$ F4 Z2 K ?

  列出文件目录

* K9 i" ~' F3 u4 Y @' z. Q

  读取

1 I: [) V! H. z' _) J! w1 l0 q

  (允许将来自父系的可继承性权限传播给对象)

; {: t! B7 F3 O8 T( Y3 u O

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

v. X8 b- K* O7 b( e

  everyone:修改

& s# |# }" {* [

  (允许将来自父系的可继承性权限传播给对象)

" }( R T. {0 p! W5 m* z' l3 c

10.如何隐藏iis版本

) d/ u2 M3 _: Z- \7 |% a5 j

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

" H2 K* G" R, y7 u

  iis存放IIS BANNER的所对应的dll文件如下:

* ]9 Q& P5 T+ z& ^' m2 U8 f

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

) Q- D6 A9 x# \: U4 y

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

+ G1 v* V* ?2 e! e5 ?7 Z, A. g

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

# N: F2 ?/ x+ s8 p" [0 x5 A1 ^

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

0 G v7 g. L- [* B2 ]+ C+ r- A

  具体过程如下:

, z# I: c l* i4 W

  1.停掉iis iisreset /stop

6 D) m2 l+ D2 v

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

4 ]( t k+ W9 U

  3.修改





欢迎光临 老秘网_材夜思范文 (http://caiyes.cn/) Powered by Discuz! X3.4