|
一位高手整理的IIS FAQ 1 ` W1 w$ ^8 B+ p% D
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! + L0 Y- b* o) R4 V" t7 z
1.如何让asp脚本以system权限运行 ; G% q; P: f/ |
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 6 ]; r& o: J/ @2 O7 x% a# v6 v; s
2.如何防止asp木马 9 i& _0 k( n- Y7 {
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
) K& L, u) Y1 _2 v! }8 u. J8 u8 a U regsvr32 scrrun.dll /u /s //删除 " {# Q* M) G2 a# K
基于shell.application组件的asp木马
/ E) @$ {5 S4 h cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 / Z6 Q0 r$ S+ h
regsvr32 shell32.dll /u /s //删除
+ M, y2 D) Y! X" l) b* _; |3 [( O3.如何加密asp文件 8 o+ h) O; L) M8 Q/ G
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 . L4 t* n6 f/ @' Y: S1 K
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
' v g. y% u4 E6 r 运行screnc - l vbscript source.asp destination.asp " Q4 C( `& c- d. c
生成包含密文ASP脚本的新文件destination.asp
9 t' u$ a2 r' x5 O- X0 t D' O& A 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 ( `' E9 n) c' D; ^. W0 e8 T$ K
但无法加密中文。
$ I% H( E+ i: _! [5 e' o1 Q# }4.如何从IISLockdown中提取urlscan 0 k3 I+ d: F. }$ a7 I
iislockd.exe /q /c /t:c:\urlscan
6 C# N5 g) Q0 o; a7 `. V* \5.如何防止Content-Location标头暴露了web服务器的内部IP地址
7 S+ ^, F! a( k1 [0 ?* w1 ~ 执行
' {* b* L U. a8 L- y6 M cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True * }' R' S- z4 m4 o. j6 E1 P
最后需要重新启动iis
; l& Q5 _& L5 G; G, r3 X t6.如何解决HTTP500内部错误
% W5 m3 D' o; Q N& `0 z8 n iis http500内部错误大部分原因 6 S, f3 G0 U6 C, ]9 Z
主要是由于iwam账号的密码不同步造成的。
" T; t& B& q: A! C5 {3 D 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 ) V/ G. @9 x7 M3 N( a( ^, n, }
执行 4 V3 R6 p$ V9 [* s. C+ {" h
cscript c:\inetpub\adminscripts\synciwam.vbs -v # M5 V+ h3 b0 V+ i
7.如何增强iis防御SYN Flood的能力
1 o% c' `5 f, r; M- R( g" Y Windows Registry Editor Version 5.00 . P' [% N0 q2 n
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] " `$ M* }3 ^) t7 P# H* m( {. v
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
$ [3 Z: S2 |' j# V 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
2 A9 \, {" Q/ R) c# a& Q2 q "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 P4 P R: E, z4 U
"TcpMaxHalfOpen"=dword:00000064 ' Z+ n" D, Y) {
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 " B8 d( s- K& h! K, X2 Z
"TcpMaxHalfOpenRetried"=dword:00000050
* T. ?/ Z: {: m1 z) R; r 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ ~1 H* h$ W( d4 L; T4 | 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 % t" l; q0 `7 v' x0 f8 e! @
微软站点安全推荐为2。 * p" O6 M# }* e
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ' _: i( W1 K i# K. F, |; ^* y/ a
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 1 }9 A( d/ |! Q- c" p( H0 m: n
"TcpMaxDataRetransmissions"=dword:00000003 8 u( @3 Q/ n1 Z) D$ n: ]
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
6 K1 \0 z6 q( r6 T- x k "TCPMaxPortsExhausted"=dword:00000005 , f1 e! R4 D+ G
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 * v9 ^# L3 u& F+ }. [
"DisableIPSourceRouting"=dword:0000002
8 H! Z4 q$ \2 W1 ? 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
W( L2 y$ E0 v" G! G "TcpTimedWaitDelay"=dword:0000001e
& q$ Y- I! _; G: X8.如何避免*mdb文件被下载
$ u6 i8 } g1 S/ [1 i/ h1 | 安装ms发布的urlscan工具,可以从根本上解决这个问题。
7 P$ K8 Z3 V6 }7 C2 f0 V 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
2 |$ @: z4 r1 V% f. f& C0 b9.如何让iis的最小ntfs权限运行 ) N3 x7 G" X% Z8 m2 [6 j
依次做下面的工作: 1 s# \& _8 @/ z6 O H/ {* J0 M) k
a.选取整个硬盘:
( I: k. B; B! n+ y1 E2 f( b2 } system:完全控制 ' h! T* ]& i* ]' B- ?
administrator:完全控制 ' K" G/ \6 N4 Y+ ]& R& s2 `: z
(允许将来自父系的可继承性权限传播给对象)
/ z7 A) L& O) w2 v8 T b.\program files\common files:
9 V* B1 s& a U3 t8 K/ m5 Z- X everyone:读取及运行
+ ]$ `7 H& V0 b6 A 列出文件目录
* y& Y1 c3 C5 n8 ? 读取
: W; k+ h9 p4 T (允许将来自父系的可继承性权限传播给对象)
/ t( _; L& Y6 A* C+ `! E6 D c.\inetpub\wwwroot:
0 r: @, E3 X, ?7 h/ J iusr_machine:读取及运行 / T b6 `9 n6 S: s1 W
列出文件目录 2 j" l& S. T A# t- g7 \
读取
$ r% G/ Z3 _; F- J8 C( r+ X+ f (允许将来自父系的可继承性权限传播给对象) % C+ M3 T& u) p
e.\winnt\system32:
: n) S7 g9 v+ J8 e- d* b2 J 选择除inetsrv和centsrv以外的所有目录,
, N. S O5 j" h$ `8 ? 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# K' w, p: R0 ]% { f.\winnt: / f# _; s* e+ a) s4 s, W
选择除了downloaded program files、help、iis temporary compressed files、 % f, P3 H- o- V8 _* y" J# P
offline web pages、system32、tasks、temp、web以外的所有目录 ( R* h1 B( ~9 R4 Y# h8 ~% T
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: O1 P/ h8 ~, u2 A. K8 R8 v g.\winnt:
1 D+ { ~' q( N' Z" v1 A everyone:读取及运行
. y. S4 j% t% ~ 列出文件目录
; I2 D" z4 a7 s4 |$ }, E8 U 读取
, C/ b- Q$ F) H$ ^' ? (允许将来自父系的可继承性权限传播给对象)
; c- v1 u& B+ g5 V' L& n h.\winnt\temp:(允许访问数据库并显示在asp页面上) 6 A& V) H1 ~0 D2 A \( H& P
everyone:修改
0 `! ^$ d7 ]4 A1 s) n4 L (允许将来自父系的可继承性权限传播给对象) $ ?& u0 r: ?. E0 |& M
10.如何隐藏iis版本 9 a9 y4 D; D+ m
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
4 A9 l6 m& G3 y9 N iis存放IIS BANNER的所对应的dll文件如下: # G! L; N9 |1 S6 N
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL ' s9 k& P; G0 @+ H* v; A
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ' a+ k( i+ n* }7 o/ u. @3 l+ ^
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
* e% z# o; g9 ?: V0 d$ X( X 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
* _& {$ u9 e# R! L, g* v 具体过程如下:
& S9 D$ G, J" N1 `* P8 j 1.停掉iis iisreset /stop
6 D' v4 [7 r1 \/ O: @0 \4 L 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 " _& S d* D0 d8 b, b+ g8 i. f
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
