|
一位高手整理的IIS FAQ % o4 q" E/ j, J J1 d% o N
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
8 C4 i/ i! E+ r! T0 _! f1.如何让asp脚本以system权限运行 + A8 t! a5 K6 ^' k
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... : H* m9 W+ V3 e9 r3 U- h8 ?& s: @% m( ]
2.如何防止asp木马 ( A: \: T5 ^* G' u) X
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
; j4 K. a9 g- @( w! v regsvr32 scrrun.dll /u /s //删除 * ~8 O( B( j6 a+ W6 b/ L( y
基于shell.application组件的asp木马 1 G: W0 {& P0 i6 S4 t- \0 G
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
( S+ N. V$ f6 U3 C3 P" M6 @! O regsvr32 shell32.dll /u /s //删除 * j2 N' e( x8 }1 g5 X- ^
3.如何加密asp文件
" N% x! s( ^/ I& l- M 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 9 n4 P# P9 U( ]# t; q }% f
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
+ w4 b* \$ V+ \ 运行screnc - l vbscript source.asp destination.asp
/ k6 Z0 W8 T- h Y' y$ \ 生成包含密文ASP脚本的新文件destination.asp 8 I6 V" D& }3 V/ s- e; j) b
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 : j# l6 x( {; | H9 `( |
但无法加密中文。 + h/ y- W& @3 M4 g5 }# [7 F
4.如何从IISLockdown中提取urlscan . \. @9 V, \+ |
iislockd.exe /q /c /t:c:\urlscan ) c! {7 q$ [; ~. t3 H9 L
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
6 V) \& M& V' _) j# V* p 执行
% ^) n; s+ {1 t/ s- R cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True & S4 @& S1 U L, C- }3 q) G
最后需要重新启动iis
( r7 p" ]% h0 @# G; M" a/ B! m6.如何解决HTTP500内部错误
/ I- e% n1 y- V$ u. R% Y6 J0 S* | R iis http500内部错误大部分原因 5 U4 l$ Q9 C; w0 r1 V3 O. D
主要是由于iwam账号的密码不同步造成的。
1 t& W2 R5 Y& g 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
* ]4 O) `6 }8 ~ T- |& _ 执行 , s% T& D& h/ m, p) ?3 k/ k- H. Q
cscript c:\inetpub\adminscripts\synciwam.vbs -v ) G$ A& c% u5 u3 k) O/ a
7.如何增强iis防御SYN Flood的能力
) s3 P( I1 |& Q8 _7 n K& n8 H Windows Registry Editor Version 5.00
* }$ V! {$ I% Z" L3 `3 l( B: V [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] S* ^0 U5 s8 Q7 | K5 A" J: O
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 6 x% x4 q/ h/ Z; R% A& M
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
0 ?) ]: X) A3 L- D3 H "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
+ L& E; [% M+ d- P( @ "TcpMaxHalfOpen"=dword:00000064
( M3 \$ w+ @; K& ` 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 * m% o$ @: I; h( w4 B& h( l
"TcpMaxHalfOpenRetried"=dword:00000050 # U# y2 t+ `2 h5 F3 a) \
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
1 C* x6 Y# e1 v1 K% C( E 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ) m5 R8 h. O1 v1 x( W: }- G+ m" a
微软站点安全推荐为2。 4 E! \! G7 T7 j h
"TcpMaxConnectResponseRetransmissions"=dword:00000001
* l+ p: \6 a& P6 W- {( C% G 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
/ K% i( t; k, x1 k) }6 k "TcpMaxDataRetransmissions"=dword:00000003
e; V% x4 v1 J l" A: @8 d5 \4 X 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ O4 ^6 n' R4 V7 {9 q "TCPMaxPortsExhausted"=dword:00000005
1 f; g8 @! j. A% K 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
# b6 O) ~, f7 r "DisableIPSourceRouting"=dword:0000002
* ]2 w( |) R) ` 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
m, p# @3 Q+ L. o "TcpTimedWaitDelay"=dword:0000001e
9 Z; p. Q- x. j8.如何避免*mdb文件被下载 0 E2 f2 `; w% J" G/ r. w
安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 U8 [+ } F6 X8 M6 w) W, p 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
/ l, z2 n5 o& a9.如何让iis的最小ntfs权限运行 ) M* G% p, D7 e
依次做下面的工作: # k" Z+ Q* L; i
a.选取整个硬盘:
6 B" d' R! J) Z system:完全控制
% l8 E6 q/ N: P5 [& c administrator:完全控制
( F! c& v: M- K (允许将来自父系的可继承性权限传播给对象)
* F p7 k( P$ a2 }$ X b.\program files\common files: / m: O( _/ N+ `$ ]3 _" B: Y/ K g1 e- J
everyone:读取及运行 3 ^6 D; b0 x5 W& `4 T; e
列出文件目录
5 c+ |' E \/ U/ ]/ L6 C3 O 读取
8 i/ n1 h$ y5 ^! G7 ~; r (允许将来自父系的可继承性权限传播给对象)
; z9 {. ^) D4 S; {2 ?8 j5 | c.\inetpub\wwwroot:
9 Z E+ A E6 v" f0 R. u iusr_machine:读取及运行
w- z2 e" d- Q; R7 V8 Y( l 列出文件目录
3 ?& m( y, N- X0 G* x 读取 2 R; @/ O" D J: r. T" h( c$ W! F0 m
(允许将来自父系的可继承性权限传播给对象)
8 Y, g. B& i" u/ b! H( X e.\winnt\system32:
4 X2 F/ S; q9 u8 n- r( l2 u* ~ 选择除inetsrv和centsrv以外的所有目录,
2 m7 ^# K3 f. g/ ? 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, v+ H9 e0 _: K1 f- M f.\winnt:
5 l" I! K, H9 N/ ^1 v 选择除了downloaded program files、help、iis temporary compressed files、
! H9 N# Z2 E1 @+ } offline web pages、system32、tasks、temp、web以外的所有目录
" K0 M9 `5 j2 W 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
) B( }: M0 R4 C g.\winnt: 4 K q! }9 T7 D) Q. q; L1 C7 q; a3 G
everyone:读取及运行 $ \6 a9 D m# D
列出文件目录 2 H: [4 Q8 k/ o5 d6 H
读取
' o% D# p. ?/ W (允许将来自父系的可继承性权限传播给对象) & _7 N" t& g; C0 l- V( A5 l" t
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
- X; T6 [9 _! ^$ ^; ` everyone:修改
: k6 u y5 V g4 u5 Q (允许将来自父系的可继承性权限传播给对象)
: C: I( H/ C, \- m+ [10.如何隐藏iis版本 ! ?* V' Y# Y I* N7 t; w' I
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 $ `/ s5 ~6 q( q$ a! z, D
iis存放IIS BANNER的所对应的dll文件如下: % j3 p8 J2 I+ n' w
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 8 r4 \: j4 _' U% }2 s! J: B! F1 G
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ! J# F4 N8 k( W' Q6 y. Y
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL . A! y# H0 ]. M$ D @
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 , u9 U- j/ U6 c1 g
具体过程如下: 7 ^; o; K. k7 j0 W/ M7 R
1.停掉iis iisreset /stop , j2 D9 m* ?' V0 ?" l3 k" p7 a
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 8 Y/ c4 `3 N# }! Z+ X% f( C
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
