|
一位高手整理的IIS FAQ
! n; P7 P1 j8 n2 i; D! q6 J下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! # Y- R. w# X m
1.如何让asp脚本以system权限运行 f/ c3 n) ~6 R& Q% |
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... * `$ h% k- m! u" ]) [- w
2.如何防止asp木马 ^/ s0 Q; c5 N* T: h. O; D3 A* t
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
8 n( Y! X9 Z" k, U) k6 [* }8 d regsvr32 scrrun.dll /u /s //删除 2 B0 I' u1 E! P1 ?! v
基于shell.application组件的asp木马 1 ~3 X/ C8 l& [5 ^3 ^
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 r4 c! [; W9 O; Y! n) j$ z
regsvr32 shell32.dll /u /s //删除
# Z( x" p, v1 m0 q; ^3.如何加密asp文件 9 k5 g+ m: p4 N0 F% A
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
& q( W2 X6 b- P: b 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ) L8 w* V* S! }
运行screnc - l vbscript source.asp destination.asp + ?) e+ @& t) i0 `3 y8 g
生成包含密文ASP脚本的新文件destination.asp Z3 X6 q6 _' y, {' L* Q
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
$ `; \' l) z5 w# c 但无法加密中文。
4 \( o$ E; K1 Q6 I: L! B! N7 a/ J4.如何从IISLockdown中提取urlscan 8 n# i1 p# h+ }- m/ a
iislockd.exe /q /c /t:c:\urlscan / r) A& j: l- }, B9 v% P2 X- ?0 F
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
, L: H4 _1 N2 E' G" o1 U 执行 # ?9 |" ^7 ~4 |! n- ?
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True ' o( @# J# y. _
最后需要重新启动iis
" N7 O) h. ?9 ?# p' Y6.如何解决HTTP500内部错误 9 T, h2 L& O" H5 }0 W$ Y( w
iis http500内部错误大部分原因 - Q" ^" d8 K+ W, i1 Q6 J! I& `
主要是由于iwam账号的密码不同步造成的。 - d# Q* E5 t; Y- Z
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 # T5 f, f5 C5 o$ L- x& N' X$ h
执行
' @4 A# I, I) n& u cscript c:\inetpub\adminscripts\synciwam.vbs -v
# m& {2 }, F- @; Q: ^7.如何增强iis防御SYN Flood的能力
. ]7 d7 j" Q- @ Windows Registry Editor Version 5.00 ; p, ?" A, ~) p+ v1 B0 z
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
# I5 B# G' ]5 b4 a 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
$ |1 l! E9 j1 K# K2 Y) K0 {1 s8 {* n 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 1 H3 A, {& o$ V! X
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
5 q& I |, D9 y7 b* m9 v! l "TcpMaxHalfOpen"=dword:00000064 ( l5 ]) \! M& w! O
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
! e9 k6 `7 j9 M& q8 q5 K | "TcpMaxHalfOpenRetried"=dword:00000050 3 y! C, a% T# _: R! a8 l9 G- T
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' |( j! B9 R0 J3 I6 x0 J6 y 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 - Y: s5 L+ B8 n5 l0 Y* r3 B
微软站点安全推荐为2。
; r' U) e. S+ V: H H5 h( [1 n; L9 o: t "TcpMaxConnectResponseRetransmissions"=dword:00000001
' t* o+ j" f& D* `8 R! q5 y 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 $ H& [9 n! T+ R
"TcpMaxDataRetransmissions"=dword:00000003 0 g" n) m- u& m1 s1 X
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
" p \' p* B/ D8 R "TCPMaxPortsExhausted"=dword:00000005 5 {( k' ]; q; c6 q+ ^/ p
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ; r( V6 P" {) U
"DisableIPSourceRouting"=dword:0000002
: ?0 S# y3 h+ K6 r# d 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 , l6 p* G; Y1 L6 T+ M
"TcpTimedWaitDelay"=dword:0000001e 4 x( i; Z+ D) o; v, ]7 Z1 D0 o
8.如何避免*mdb文件被下载
# b0 l! U9 f6 A 安装ms发布的urlscan工具,可以从根本上解决这个问题。 0 _: ?, a, ^: Y9 _: y4 K, [
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
3 B! U! ^/ ?' u! X, i9.如何让iis的最小ntfs权限运行 % X8 J1 ^" z1 f: E3 ]9 k
依次做下面的工作:
7 A% i6 F; J5 ]% z( M/ X a.选取整个硬盘: $ n! ^2 K; L, m# x) D
system:完全控制 + n- m3 g' P4 E. i* {6 r2 V
administrator:完全控制
4 J) p) Z2 s8 |: t( B. w (允许将来自父系的可继承性权限传播给对象) 8 S- p+ h: m8 Y: m1 a5 u/ s. ?% ?
b.\program files\common files:
0 k7 F9 q5 Q& | f& B everyone:读取及运行
) e u7 p3 |% e2 C 列出文件目录
0 I- c2 H c# @ t6 k 读取 " I( Y" @/ @9 Z/ f8 C9 r
(允许将来自父系的可继承性权限传播给对象)
( W" y- E! y; V) i c.\inetpub\wwwroot: $ O5 Y" O' T3 [
iusr_machine:读取及运行
' t5 D! A9 Z/ W6 N8 {$ |- d* m8 ` 列出文件目录
4 R9 g$ |- _3 K- d' P 读取 7 I6 T1 K o8 d3 B2 M: m5 f9 T# o
(允许将来自父系的可继承性权限传播给对象) # i/ }5 l l+ \5 ?6 O( U
e.\winnt\system32: ) s- O4 c: ]- y, s- v
选择除inetsrv和centsrv以外的所有目录,
; T4 J/ A& s O; ~( w; i 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ) |2 }' _' T6 @1 n4 z
f.\winnt:
9 X( I7 t9 v+ Z& x- r( B 选择除了downloaded program files、help、iis temporary compressed files、
, I- ^( g5 R: r1 ` offline web pages、system32、tasks、temp、web以外的所有目录 & _, f: _# F: ]0 Q
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 $ x! ?/ S1 j" y+ ~! F! ^
g.\winnt: + U: O" S! D! l) a2 X
everyone:读取及运行
. ^1 h; H# z% d 列出文件目录
8 g' a: R- A( F, Z 读取
( P; Y" b7 M) _6 b. h. i (允许将来自父系的可继承性权限传播给对象) $ J* ?0 r7 }* P4 H0 n! \7 b6 c
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
1 R4 v# H6 t7 n, A7 Y1 }3 ~ everyone:修改
5 _; D+ t# X f' b& F' s3 {6 P6 H (允许将来自父系的可继承性权限传播给对象) ' f1 q" c k5 S. g! x. S9 Y
10.如何隐藏iis版本 ! G9 x, g$ l9 U( t
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
6 o) t' F8 v5 @6 x6 f iis存放IIS BANNER的所对应的dll文件如下: - K! _$ M9 n: Y K) J3 R2 @
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL ; O9 b. @7 Z# i# A x
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
% I% \8 T: A# B/ a2 N" F SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
+ q q0 V; a2 v$ y: c* {4 n$ B 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
9 h5 ?! L( Q5 P. k7 w1 J G 具体过程如下:
: l$ ?* E! d, W1 s 1.停掉iis iisreset /stop % o; |/ p5 k5 ]
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
; h. l4 [5 l$ s4 F* F7 b( ?1 t9 s/ p 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
