|
一位高手整理的IIS FAQ ' B) R4 a- Z# x3 Y, \, ?
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ! b {# S8 V, g* u8 `2 P K
1.如何让asp脚本以system权限运行 c9 ]1 v0 I% n: W
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! r- c! }- Z8 @- e5 x2.如何防止asp木马
2 \# f" q/ M* L1 O! r$ o 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
4 \; o. ?6 m; j0 L+ @ regsvr32 scrrun.dll /u /s //删除 % S; h" [$ y) p7 @6 c: i
基于shell.application组件的asp木马 # P9 z: L0 ` N3 m/ u
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 4 }& ]6 l* _+ t) t' k/ S* P
regsvr32 shell32.dll /u /s //删除 " V/ }: t" D* v/ c" H X
3.如何加密asp文件 ) @! _& f* j" z8 ]
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ m- J K- n0 X+ I! s8 E& I 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 - ^+ x( M8 _) ~; {6 s6 a
运行screnc - l vbscript source.asp destination.asp ; I O. O3 y9 |- q. I: _3 P
生成包含密文ASP脚本的新文件destination.asp 8 N5 T0 O7 w1 e0 J3 S) \" l L
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 4 \. ~1 V- H2 M: t
但无法加密中文。 7 D# N O* f6 h$ C
4.如何从IISLockdown中提取urlscan
. d5 G: G4 ?1 I' ?+ H- M! E1 ] iislockd.exe /q /c /t:c:\urlscan
& _! o; r& m4 y6 @: H! \# ^- K5.如何防止Content-Location标头暴露了web服务器的内部IP地址
5 c. u$ G: i ~7 e2 W 执行
5 x( \5 p: d2 A2 U4 f' z cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True . y; F; P/ x5 r4 V- d
最后需要重新启动iis
) _ l" R7 a! N2 N u3 O. d: x6.如何解决HTTP500内部错误 8 k) c% \+ |! \1 A/ R, l D* C8 }. r
iis http500内部错误大部分原因 8 g5 e0 v# i) _
主要是由于iwam账号的密码不同步造成的。
4 a3 ]& O7 E6 e6 Z8 t+ K q/ d 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
7 `4 U4 i" L( ^0 x3 ? 执行
3 ~! S! ^$ S/ B2 Y3 D7 Z1 G7 u cscript c:\inetpub\adminscripts\synciwam.vbs -v
% B+ K1 W& \9 v7.如何增强iis防御SYN Flood的能力 ; d, H1 k6 U2 a& A# r
Windows Registry Editor Version 5.00 * t2 ~/ \7 t7 M3 }+ E/ _/ p
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] . P. f p5 f3 D% q$ v
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
9 @% P/ n" T$ Z* u' `1 W0 N: w, \ 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
3 _7 r2 a% a! R "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 . I! h3 ~# |5 p* C" j; A/ n, W
"TcpMaxHalfOpen"=dword:00000064
`/ @3 h- U2 B5 }" S 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ' A: _% d2 o; O: W3 \
"TcpMaxHalfOpenRetried"=dword:00000050
$ V1 S4 L" ]# u/ l2 I 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ( m A- U& W8 b; \
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ( o j. x% `4 h" p0 m
微软站点安全推荐为2。 & X9 z. u# W0 G) j% l+ k
"TcpMaxConnectResponseRetransmissions"=dword:00000001 & _6 V* X E9 b( W6 \% |
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
: l3 I: P5 C% r8 C "TcpMaxDataRetransmissions"=dword:00000003 2 l9 G7 Z5 F3 Q2 d
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
' w4 R. N# Q6 x5 F( ?% N "TCPMaxPortsExhausted"=dword:00000005 8 Z* [* ~6 l+ O8 ~: v
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ( v* J: |) u2 D$ t$ j9 A
"DisableIPSourceRouting"=dword:0000002
7 z* f7 Q7 r& `* f0 | 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 : x- d0 d8 n w8 x& y5 n) h/ G9 W
"TcpTimedWaitDelay"=dword:0000001e
2 }8 X: d4 G. c2 i- ~8.如何避免*mdb文件被下载 & U3 d/ f: b1 O/ c: T6 b; }+ s) W
安装ms发布的urlscan工具,可以从根本上解决这个问题。
# b s" {1 c: o+ h4 } 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 1 h9 t) X+ f8 d" e% J
9.如何让iis的最小ntfs权限运行
" b1 Y+ ?! \. e 依次做下面的工作: ( b/ M8 q4 h5 b2 d
a.选取整个硬盘:
6 u& a0 Q2 N) l& X& L system:完全控制 . J; d6 Z% C4 P9 f6 F$ q; o* P
administrator:完全控制
7 Y8 ?: b: ?. A; K6 H (允许将来自父系的可继承性权限传播给对象)
5 o2 O0 u( u2 ` b.\program files\common files: 4 J+ s& M. [( O
everyone:读取及运行 0 N" x3 g6 \$ l4 F( i
列出文件目录
6 `# I( ~" w9 c& ~& }, x2 s8 x 读取
: J+ i, G$ _/ f; m! b: X# I (允许将来自父系的可继承性权限传播给对象)
9 f3 [& \& z# ?; p, k2 x7 v& p7 m9 M c.\inetpub\wwwroot:
6 s1 P0 h4 X5 Y/ Z+ N( L4 l iusr_machine:读取及运行 ) Z" Q8 ]0 J3 W7 @
列出文件目录
; l5 x8 I5 n1 C D: T 读取 ; ?7 z# g' I* y$ o9 X
(允许将来自父系的可继承性权限传播给对象)
+ R5 E: q6 A& _" N$ T e.\winnt\system32:
. W( T! \+ c$ Q; F1 d4 m. g 选择除inetsrv和centsrv以外的所有目录,
) k) Z: k4 M" q6 l! \ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 + u! r/ c5 ]& G$ z8 r0 _" u
f.\winnt: 9 Z- w( h/ p+ ?0 D: M0 I- r
选择除了downloaded program files、help、iis temporary compressed files、
# k: e1 J1 |7 q2 X. _1 K offline web pages、system32、tasks、temp、web以外的所有目录
% H+ j& O6 N- G6 ]1 }! Q 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ E9 O- g8 w1 V4 E& ~, y5 M g.\winnt: ) Z" H8 v6 @4 H
everyone:读取及运行
$ d, h8 B7 C& w* ?# s O 列出文件目录
# r5 L- k; w$ V0 k# }, L 读取
2 W! f( a$ T6 }$ L5 V* B+ ~7 a0 ~8 o (允许将来自父系的可继承性权限传播给对象)
- M* r3 x. C0 y0 d) e b4 j# ~ h.\winnt\temp:(允许访问数据库并显示在asp页面上) 7 X6 B; Z5 W/ \7 S/ J
everyone:修改 8 c" {- z' K$ V, B9 Q8 ?" O5 }" Q
(允许将来自父系的可继承性权限传播给对象)
2 q+ x, ]' j/ Z" F4 U" s10.如何隐藏iis版本 ! n. I& ~; Y' [* J6 T% a
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
( e- T, c9 U& L8 s6 t5 r iis存放IIS BANNER的所对应的dll文件如下: ( D8 z8 |$ P. g3 D9 x. [+ ?
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
& ?( e& A$ q5 q v: p! n+ K FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
% K( e/ n7 M. J" N. z/ a7 O& X SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL . O2 ]% y4 x8 m @8 r+ y
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 t& S2 g: W; B( l4 r' n# G9 I) q
具体过程如下: " ]# l5 c& w5 v% v4 e
1.停掉iis iisreset /stop
- q' Z& S& ]& k- U% c7 z& e 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 * ~0 Q3 Z: }' c
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
