|
一位高手整理的IIS FAQ 3 U! q: q- [- c6 Q4 [- Y
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! . a% X6 _9 o. b2 T S
1.如何让asp脚本以system权限运行
/ P) m' Y* t( f. m D4 l$ S: r 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
/ M7 f/ c/ x3 {8 E- F* B2.如何防止asp木马
4 n6 p8 J, a7 x) a! X4 U 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
* _; U- { _9 T. y4 N regsvr32 scrrun.dll /u /s //删除
' p% y1 G1 h& \# q 基于shell.application组件的asp木马 / k+ P, ?' D# I
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 / k5 [7 _+ r! X* v+ N" w
regsvr32 shell32.dll /u /s //删除 ; R) i H$ a/ B2 u
3.如何加密asp文件
/ ^; i! M* L6 I. m8 S* z7 U 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 * G z3 U4 s0 g- y4 E
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
3 u: g4 s, n' F0 E 运行screnc - l vbscript source.asp destination.asp ! C, u7 l6 T: @$ S
生成包含密文ASP脚本的新文件destination.asp
! w% P, P/ z5 `6 ^' B/ ?4 ]2 I6 t3 M 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 " ~ N" r/ x2 L. m5 l
但无法加密中文。 P' Z) [! ^: ]: V6 T! K0 _! h
4.如何从IISLockdown中提取urlscan # A4 D* H# \7 ^8 p6 Z$ O; F, w. a
iislockd.exe /q /c /t:c:\urlscan 7 U3 Z7 l, ~& S
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 3 T: g0 I: T1 ^8 ?/ `
执行
4 W: Y3 B$ ^) Y+ i' O u2 Y2 \) w cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
5 _! u% Y3 o3 k9 F 最后需要重新启动iis 2 Y* ]1 D0 U$ @4 t
6.如何解决HTTP500内部错误
; ~2 l6 f, r3 F( P iis http500内部错误大部分原因 , W8 s# H# x% u1 u) D" n
主要是由于iwam账号的密码不同步造成的。 , |& A3 J4 ~) C2 `/ ?+ x5 o- U3 F+ T
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 2 V1 R3 P, Y$ Y+ I' N5 J: t3 t
执行 ; O; ?9 c k8 M# V$ d
cscript c:\inetpub\adminscripts\synciwam.vbs -v
+ P" j0 ?% l% u3 O& E7.如何增强iis防御SYN Flood的能力
- I1 v. n; b/ O1 m Windows Registry Editor Version 5.00 ! T6 C& i$ Y# [$ E* K, t6 K
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
1 L7 A+ D% H+ K) \; a( w4 } 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
1 n9 Q- t+ X5 k! b7 o* K 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 0 f9 ~$ l. c& g/ W+ J
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
5 X" h+ O8 \- o' m1 G% V "TcpMaxHalfOpen"=dword:00000064 : i! ?3 F# f! O- Y
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ' z" }$ ~. I( D, v6 Y; Q
"TcpMaxHalfOpenRetried"=dword:00000050
6 ?* I2 [9 \7 m c$ H+ e1 ? 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 & }( f, V6 K8 i; o7 P
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
5 i2 ^, L8 X0 C, m4 R+ a3 k5 K; `" i' B 微软站点安全推荐为2。 . q3 I) s% b; I5 \- [1 \
"TcpMaxConnectResponseRetransmissions"=dword:00000001 8 L/ x3 ]* F# s7 n; K* V* c
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 3 F0 P; f9 x8 x" [! I- ]' z
"TcpMaxDataRetransmissions"=dword:00000003 % ]$ ]7 A `5 \ k, O
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 : `) D3 m/ h' ~$ t2 t% r H# ^9 M2 ]
"TCPMaxPortsExhausted"=dword:00000005
& x5 d; o7 m5 |- u2 O 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
* T: c9 y! O9 V. {1 S( g "DisableIPSourceRouting"=dword:0000002 $ P$ P+ G. G" D4 m
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 : H1 F( X" T3 |3 L
"TcpTimedWaitDelay"=dword:0000001e 4 X+ c5 k# B5 T% I7 y
8.如何避免*mdb文件被下载
3 ^5 I: V/ w) o$ ^/ _- F 安装ms发布的urlscan工具,可以从根本上解决这个问题。 4 {' B3 s* I4 K' ]
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% }) u. O$ y* T" H% j6 h9.如何让iis的最小ntfs权限运行
# R$ b1 I' ]. q2 \ E 依次做下面的工作: 8 E7 j+ {- F9 r1 o/ y/ k: h
a.选取整个硬盘:
% B- Q2 m/ ]9 W' f; a' g system:完全控制 ; g. u" s# P( x, N2 R
administrator:完全控制
, p; {) N9 d' w. Y, v% J# ?* _, | (允许将来自父系的可继承性权限传播给对象) $ m8 p: o) z/ c7 z7 Z
b.\program files\common files: {% G2 `4 m$ }* P
everyone:读取及运行
6 i6 Y6 s- s d* R0 E0 z5 j: s. ?( j 列出文件目录 $ Q, u5 C% d6 S* ]
读取 8 ^' K L0 B9 o2 o" p0 h2 q2 E
(允许将来自父系的可继承性权限传播给对象)
# ^1 b( F+ Z! E7 e: d& v& g c.\inetpub\wwwroot: ; N j( F9 b1 {0 _, D
iusr_machine:读取及运行 ; T' _ @# k6 J5 D- o$ @* G+ F
列出文件目录
3 V8 f# s0 H* d$ ^/ d$ M- ^ 读取 $ ]! n* f6 u: |. y5 n x& C/ l
(允许将来自父系的可继承性权限传播给对象) 5 ~3 ~$ G: x- ^7 ?! f" L
e.\winnt\system32:
) X1 |% R% i; `. T 选择除inetsrv和centsrv以外的所有目录,
A/ V, Q5 n; E: q 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 , e) n7 u( y- R- A5 p5 ^
f.\winnt: " _/ k8 [, W- {1 i$ Q3 X
选择除了downloaded program files、help、iis temporary compressed files、 & l/ _, ?% n3 ?
offline web pages、system32、tasks、temp、web以外的所有目录
/ F1 Y2 m8 }. o 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, @# ^* R; @+ e Z. N& `' N5 G g.\winnt: ( G/ m# s5 }4 c3 @- ]
everyone:读取及运行 ) [0 O- z& [7 P0 l% v, c% x
列出文件目录 4 D2 b% R9 M: Q
读取
$ @% p2 c0 {) ]$ N (允许将来自父系的可继承性权限传播给对象) : S8 U+ Z- _, w& |' L2 K' }/ G
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
5 T$ h6 b8 L0 t everyone:修改
( e, L7 }3 e1 c& E (允许将来自父系的可继承性权限传播给对象) 0 S8 Z- `& g- l, a: o3 X9 s
10.如何隐藏iis版本
1 z4 r) j; }; a' N7 D. ?2 h6 K$ D 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
$ l, B+ s6 Q3 A! u+ t$ e$ _ iis存放IIS BANNER的所对应的dll文件如下:
, i5 `% w4 g2 \ WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 6 ^- i: t: h7 W- E0 ^* ~( `. w
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ' ~1 \/ }# J) ^, [ A0 \2 g
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
; q1 x7 e: z6 D; Q" M7 ] 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 + Y$ R: e9 X0 _$ U$ }
具体过程如下: 9 i" @! t s; G8 [$ ^
1.停掉iis iisreset /stop
8 s" _' p' F ?1 g6 X 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 9 `% ^( @. Q h( L
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
