|
一位高手整理的IIS FAQ
" Q6 {+ N6 T) S下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
8 |+ Y3 ]$ ] M- X/ E4 E4 a. |% P1.如何让asp脚本以system权限运行 X4 n% W2 j) ^* K7 r7 Z
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 1 g! G2 A2 r& S: d" O6 o- `
2.如何防止asp木马 + P- a) w/ k$ \( H. f
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 9 ]2 I6 @, I; |% M5 K, v
regsvr32 scrrun.dll /u /s //删除 ( C" r$ {* f; }; S. o: U/ z
基于shell.application组件的asp木马 / A1 Q h" V( |/ \2 z6 ?$ X& O
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
3 D+ Z U/ x) o0 I/ @0 R/ p7 H regsvr32 shell32.dll /u /s //删除
: e& p m$ r8 {# v3.如何加密asp文件 3 o- J" I8 f: V! c
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 - E. F% [2 I6 K* J
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ( d* u& \' }6 {* P( X) ?
运行screnc - l vbscript source.asp destination.asp $ m5 ~( V: q' o1 @8 [
生成包含密文ASP脚本的新文件destination.asp $ S. Y2 y! g: g. L" a* x! f
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 ! Q _4 |" h4 W3 |3 U& M' M
但无法加密中文。 . n" P! U1 m1 ?& k" s
4.如何从IISLockdown中提取urlscan " H5 P. H/ t6 } Y% d
iislockd.exe /q /c /t:c:\urlscan
; o! u. M0 ]$ o& g9 ?: k) ?3 s/ C) s5.如何防止Content-Location标头暴露了web服务器的内部IP地址 ) N {4 @* G) _, |: R( R
执行 8 [4 {9 ~8 d( _) `
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True " c$ T9 D( g; O$ [3 [
最后需要重新启动iis : ~4 O1 u0 E+ W9 g) Y
6.如何解决HTTP500内部错误 * [6 Q( A u4 d. y( L
iis http500内部错误大部分原因
# V: Q9 U- F/ V& y" _2 T 主要是由于iwam账号的密码不同步造成的。 / \% _8 i) _% _/ ~% B% D
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 6 m, L, ]4 @# u% v4 M/ u" c" S
执行 ; _9 y% y' G/ f4 E: L' @7 |/ ^
cscript c:\inetpub\adminscripts\synciwam.vbs -v
- X3 R% C5 S3 L; J: g2 h6 {# @7 c7.如何增强iis防御SYN Flood的能力 0 X( a8 L+ t2 a2 P: ?7 H
Windows Registry Editor Version 5.00
/ r( Y9 X! O2 \8 _& Q1 J( @. E' ? [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
0 e; I2 N; a; E2 z3 e( {9 G2 P 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 & ?! }8 x2 s! U& T* O
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 . i3 r( u/ g# M% {! v
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
3 A1 n1 h O5 W/ P "TcpMaxHalfOpen"=dword:00000064
4 P: m4 I7 }7 } F7 o M 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 . Q2 S$ F. V+ J# E+ t7 q; l, w
"TcpMaxHalfOpenRetried"=dword:00000050
7 _/ A* N7 N3 n% D/ H5 y 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
: ^6 }3 j u6 P( L 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 . h- E& k# H2 r+ I" w5 Z. I# j
微软站点安全推荐为2。 4 _% q: b/ E- P9 ^' u2 x
"TcpMaxConnectResponseRetransmissions"=dword:00000001 2 e+ v, x& v V/ G0 b8 ~
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
1 P/ X* U. H! t$ \; F "TcpMaxDataRetransmissions"=dword:00000003 / I- z# f6 b! U) A, C' a; G. P
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
+ O. `) T" K, I* p7 D7 K" j; ^$ J "TCPMaxPortsExhausted"=dword:00000005
6 H) W. Q0 X7 D/ F( k 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
3 F) u7 ]4 x& T "DisableIPSourceRouting"=dword:0000002
5 L2 f/ o }7 w) G- f6 t6 J$ _ 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 * R4 c0 V% `0 y3 M5 P% v0 Y! ]5 i
"TcpTimedWaitDelay"=dword:0000001e ( u$ l) j% x( N3 u
8.如何避免*mdb文件被下载 1 \& l. V- Q' C$ X
安装ms发布的urlscan工具,可以从根本上解决这个问题。
: j- E9 W1 |* R$ u 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% `+ I/ y5 u- v4 V: |- H" o0 C C9.如何让iis的最小ntfs权限运行 - b+ p, P/ @2 M2 w+ v( y
依次做下面的工作: , I) r% r/ E9 Z ]( q
a.选取整个硬盘: 6 m! s$ i; {! j) D( Y) j: g
system:完全控制 y* S1 \ W4 E" E
administrator:完全控制
/ \1 O/ O7 J( K$ B$ {# n (允许将来自父系的可继承性权限传播给对象) ) V$ u, n! U" z& e+ Z( }
b.\program files\common files:
7 h' o' q; [2 d4 c, k$ ~3 j1 e2 Y2 ^ everyone:读取及运行 ! o8 L" \; i0 T9 u. K- c
列出文件目录
0 z) e: w6 H, Z2 i 读取 % o) s( [; Y9 h' k* z+ |
(允许将来自父系的可继承性权限传播给对象)
9 O" ]4 V8 }4 X; K c.\inetpub\wwwroot:
( n( h! T; G1 {' b% T& p iusr_machine:读取及运行
& T; O5 P0 M7 A; ?6 A, \8 } 列出文件目录
J; D, U8 e: P. B2 n 读取
3 y: V3 [- Z! Z3 w1 V' w1 s5 w; y: B (允许将来自父系的可继承性权限传播给对象)
8 B/ C! {2 |7 G8 ^ e.\winnt\system32:
* y# I( u7 E/ [8 ?: \ 选择除inetsrv和centsrv以外的所有目录, & E/ f! x: P$ p: O* D/ l
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, ?; `* k! B; n& R0 | f.\winnt: ' ?' ^7 G/ q5 h4 \3 ?
选择除了downloaded program files、help、iis temporary compressed files、
) R3 e& h' D9 v9 e5 d1 o offline web pages、system32、tasks、temp、web以外的所有目录
# f: D6 ]' g6 ] 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - |2 T7 t \) k" M$ L* ^
g.\winnt:
9 d ^+ r# M, k j" C everyone:读取及运行 7 @5 P. R% I1 `' m
列出文件目录 ( |0 ~ Y1 ^. v+ T& F$ V% G& z
读取 6 D$ p$ E' P4 v% y# u& D1 w
(允许将来自父系的可继承性权限传播给对象)
0 H6 i9 w; k: o h.\winnt\temp:(允许访问数据库并显示在asp页面上) / _9 T+ ~/ @% v1 a. @
everyone:修改 ) m$ y* u b4 s3 Q! P! F6 z$ a
(允许将来自父系的可继承性权限传播给对象)
7 ?) D4 ^ E9 v! B9 z" L. c- H10.如何隐藏iis版本
8 Q7 A" W4 }) _6 z8 A 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 " `* O9 B3 ]0 X/ y6 K0 e
iis存放IIS BANNER的所对应的dll文件如下: % k u( |) o8 P/ ^. p6 m
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL + r2 g3 r( F, Q0 i0 c
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
( j# U! _7 a$ } SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 1 N) ~, `/ r8 H# A6 Q
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
% m, D- U+ C- l' G0 k& ]% F& G4 ]6 W 具体过程如下: 3 j6 h: L; J) T
1.停掉iis iisreset /stop & H+ i; ^% T- B+ d
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
0 J6 p" e4 H( ^ 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
