|
一位高手整理的IIS FAQ
+ i( J) q* }' m$ [! i0 g2 C8 F下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
" s- r. U" U/ l: V- ?9 c* A1.如何让asp脚本以system权限运行 v. B" K# j ~0 \/ B6 p" a
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ; K9 Y; J* s4 L5 i
2.如何防止asp木马
2 g2 e' O5 N. H) i5 f3 I 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 , I6 A+ a: s# {
regsvr32 scrrun.dll /u /s //删除
! K+ ]7 x* O% r 基于shell.application组件的asp木马 : Z, i! w: f9 Z/ `3 b
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 ' g& s+ x" f4 A7 ~7 x- s7 i
regsvr32 shell32.dll /u /s //删除
- Z9 S# A9 }( k. ?( A- z6 z; k; ^3.如何加密asp文件 9 L" u' @ u# R' C: j3 R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
+ X0 b0 p/ M+ o) X4 y6 r6 S) A8 N 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
6 A9 g8 J0 g: ]9 c6 f 运行screnc - l vbscript source.asp destination.asp ( D. I2 s8 K0 e
生成包含密文ASP脚本的新文件destination.asp 8 K K L4 }; s
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 ; q* h1 ^8 W- G5 h
但无法加密中文。 - v; s) C! d6 s G% ]
4.如何从IISLockdown中提取urlscan
# B5 J: C- A: @* r( L iislockd.exe /q /c /t:c:\urlscan # w4 W. b4 f/ m, F/ u2 _' t
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 $ S* @3 k$ W5 f
执行
8 x9 G% H# O& M+ z! W% n# @ cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' u3 T8 b$ s8 `2 E 最后需要重新启动iis
$ U' `/ W$ [ W) o* k. E6.如何解决HTTP500内部错误
0 m2 h3 [" v3 a# { iis http500内部错误大部分原因
2 R% F* Y" D5 V9 `( `; l% [$ k 主要是由于iwam账号的密码不同步造成的。 # d5 ^; r( c" b) R
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 * P! j+ b$ L: W6 p' F9 b7 l2 K6 O
执行
0 z* u+ f. f9 n* Q7 j8 a/ L' V cscript c:\inetpub\adminscripts\synciwam.vbs -v . @- {) v9 q/ ]3 d6 x L
7.如何增强iis防御SYN Flood的能力 3 u5 t9 `' y* ^7 f8 v
Windows Registry Editor Version 5.00 3 X3 }) K( b& @5 v/ c0 T4 e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
& A( E5 U# M G- q8 ^/ @, y 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
3 O- z2 M1 r) X" b! [& @ 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 7 b" ~7 W% @9 c- R1 Q2 H ^
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
2 w2 y/ S8 i5 S# H2 Z3 {- o2 y "TcpMaxHalfOpen"=dword:00000064 1 ]" V$ U- `) E! d2 v
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 6 C$ D- ]" \1 E/ B: r2 v3 c* O
"TcpMaxHalfOpenRetried"=dword:00000050
" s5 v% f2 }' i5 E 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 * F% F3 f7 Q% s2 g2 J
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 3 ^* u- \7 N9 F! w( T0 j/ L: ?4 Q& e4 j
微软站点安全推荐为2。
( ^; c$ |! o/ W6 q. d+ @) r4 u "TcpMaxConnectResponseRetransmissions"=dword:00000001
9 v/ l2 Y! ]1 Q$ l. b2 c8 R6 h' i 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 , J3 T+ a% T- U$ i* @9 I/ ^
"TcpMaxDataRetransmissions"=dword:00000003
; {4 X# j" R: C. ] 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 ' [- M, `& i* f/ K7 I5 t) F& W! S( U/ U
"TCPMaxPortsExhausted"=dword:00000005 ! ^/ V" G2 h1 m
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
' F( I# |( I) p: X. D9 l, |# l "DisableIPSourceRouting"=dword:0000002
% ]4 G+ P8 `9 Z 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 6 x! L3 q3 ^4 C: f; g/ \* b2 Z
"TcpTimedWaitDelay"=dword:0000001e : J+ L! G, _' `0 l
8.如何避免*mdb文件被下载
3 D) X2 K, u1 s. ]: D7 c 安装ms发布的urlscan工具,可以从根本上解决这个问题。 + b5 O l0 Q7 A, i, D7 p
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 $ X( n: Z* X4 D0 G1 c/ `
9.如何让iis的最小ntfs权限运行
5 _+ ^ \8 A+ ] 依次做下面的工作:
# a* T. y2 x9 v( J/ y4 h/ ^6 I4 ^ a.选取整个硬盘:
- v, d! X% O' G' r2 b# ? system:完全控制
' p: ?- D4 v) z0 } administrator:完全控制 " r0 L8 Y; t" Y
(允许将来自父系的可继承性权限传播给对象)
+ @# E- o5 o; X2 e/ y% D: E5 t( F b.\program files\common files:
+ I% ~3 i" `* X6 r everyone:读取及运行
+ L; V6 O, ^# w* w9 P8 ]( N* t, } 列出文件目录 & n& N) Q# ~4 E, r, V
读取 & g y( Z9 k, T1 i _+ C2 b z3 P
(允许将来自父系的可继承性权限传播给对象)
) F% f8 i2 Z' a9 b9 Q c.\inetpub\wwwroot: 9 i- {* M5 @+ w/ P6 z- X# R/ N- S
iusr_machine:读取及运行 ! |& I, ?$ F0 i! ]
列出文件目录
7 W: U6 T6 _% T$ ~, @ 读取 ( \ y* m! W2 ]2 Z y
(允许将来自父系的可继承性权限传播给对象) * T' g2 M1 T6 b( i; T3 d
e.\winnt\system32: & a/ V; f! p/ Z: b" j' T; I" x/ @; ^
选择除inetsrv和centsrv以外的所有目录,
: ]% P' ^ x) N3 Y8 f9 r 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( M G3 Q; A) Y7 x# e f.\winnt: 3 k" J1 [* t; _- [# B! D+ N/ S
选择除了downloaded program files、help、iis temporary compressed files、 3 y" Q7 a8 @! {) N, i$ X, x
offline web pages、system32、tasks、temp、web以外的所有目录
0 A, ]( K* O! |' p 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 & O: n5 E6 y' W* f: ~4 Y
g.\winnt:
3 d7 F* a/ P8 A everyone:读取及运行
7 F, O' Z |1 s% }' g; A 列出文件目录
0 F$ L7 m K! w* {. J) ~* V7 B9 i 读取 : P/ D* v |, w J- i
(允许将来自父系的可继承性权限传播给对象) " s1 K# h& g% d) X/ S' r k
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
4 t" f$ G" V5 w everyone:修改
* q/ e; s9 a, j# ]/ b- x# Z7 p& j (允许将来自父系的可继承性权限传播给对象) - A7 d+ I3 p9 D/ _0 L- P' m
10.如何隐藏iis版本 |: W& j4 U* G' Y4 U* `
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ' ]: @/ v1 N2 q( l& i p
iis存放IIS BANNER的所对应的dll文件如下: 7 l$ b, J5 M2 y8 ~. c7 W; ^
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 5 L w5 K8 E5 G$ ]
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
" i* D% m4 j) i! B/ L W SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
. q* L7 J3 i* H1 e 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
/ _9 M6 W8 p6 o0 E4 i7 R( Z 具体过程如下: & n; \* k3 ^9 b& W2 f6 a) [
1.停掉iis iisreset /stop
6 {" r* R# V0 ^3 e 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 5 t4 e% R9 q4 M# |# \+ C
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
