|
一位高手整理的IIS FAQ $ N" [ E" ]0 F* ~ Q
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
6 Z, P5 S b) S0 L7 v1.如何让asp脚本以system权限运行 3 P8 H- ^' t- z
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ( V1 ~" f* ]( l! x* e
2.如何防止asp木马 ; c I, P) \ U" u8 |
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 $ j8 y4 ~/ m3 \7 B2 ?7 w
regsvr32 scrrun.dll /u /s //删除 # i3 t- f6 c! t7 Q
基于shell.application组件的asp木马
( I* B; \1 `1 Z. H# F+ u+ A cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
/ S; i! I& Z: J/ T$ J3 C& k regsvr32 shell32.dll /u /s //删除 6 {" c9 I' x$ B7 w/ R
3.如何加密asp文件
5 V" Q' H- G$ u& m 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 B) }9 `5 o( q4 @
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 4 k; N/ Y' W- S, C, A6 z" M
运行screnc - l vbscript source.asp destination.asp
0 }7 g7 _& T4 K3 Q 生成包含密文ASP脚本的新文件destination.asp
: e: Y1 H% e3 C* x6 \* X$ ^/ h. @9 m: I 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
& x7 ~" E. ]: m0 F" R 但无法加密中文。 ( i+ E) g+ n- p5 Z$ m& s
4.如何从IISLockdown中提取urlscan
. n, ]( v! T5 Y+ N! ^) u& j( Y8 g iislockd.exe /q /c /t:c:\urlscan 5 [# g+ }. i+ y H& m6 G6 X: |
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
4 o! O* C* a( I/ |1 o 执行 2 E- R1 I& s2 o. c9 B7 E
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
3 e% h, Q9 T+ y6 _0 _' I 最后需要重新启动iis
9 S& y/ Y9 F3 E+ m6.如何解决HTTP500内部错误 9 i1 w% o' d3 i' @8 Q! x+ J2 L* x
iis http500内部错误大部分原因 / N; E: c1 ?/ U7 Q3 a
主要是由于iwam账号的密码不同步造成的。
) A8 \ Z; P( n/ |7 o4 j/ q k- d 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 & C( @/ Z* _( t) y
执行 9 U0 r" G+ } l* t4 R3 V* `7 E% G
cscript c:\inetpub\adminscripts\synciwam.vbs -v + f; c- ^; I, X3 i1 a
7.如何增强iis防御SYN Flood的能力 0 X; S. m; X1 A( v }6 C- c5 V6 v
Windows Registry Editor Version 5.00 " p1 h% K- l+ }( N
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
$ Z0 B# @; r; A 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 : \7 T+ T, K: {: Z; b4 [
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
. k" D9 V6 O! s7 R1 m& L* e "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
: c1 \& K9 s9 U2 i "TcpMaxHalfOpen"=dword:00000064 : c0 \9 V4 p: x
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
, m. P# r- N& J/ \ "TcpMaxHalfOpenRetried"=dword:00000050 " S* w Z& j; G0 T2 _8 X
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 * u% R8 ]- z' v: i2 w. f
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 6 w# o: _6 o7 M8 w
微软站点安全推荐为2。
U R. q5 H3 S4 }; P "TcpMaxConnectResponseRetransmissions"=dword:00000001 5 u: b" b% R7 _. U5 N+ t
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 K2 n: R7 a7 j2 m9 n: N( s$ Q
"TcpMaxDataRetransmissions"=dword:00000003 / E% P( U8 {& ]' w1 |! |9 a- @
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 0 K9 I3 c- P, A/ D! J0 |
"TCPMaxPortsExhausted"=dword:00000005
( P7 }+ d5 X! |" H2 x 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 5 }. t$ e$ N) m# x* y m! L! V5 {
"DisableIPSourceRouting"=dword:0000002 . ~7 G* F. s/ }/ w* J! g
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 r! x [9 [" |9 l4 M+ k- G3 l "TcpTimedWaitDelay"=dword:0000001e
]7 r9 Z5 {9 M" J) S2 J7 @& J' z8.如何避免*mdb文件被下载 " S* y" |7 R# F8 Q- C8 q
安装ms发布的urlscan工具,可以从根本上解决这个问题。 ( W, ?9 d* W5 s' C- R
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( c/ Y) k4 N( g5 j# P9.如何让iis的最小ntfs权限运行 " M0 |# k4 c, u$ M9 d4 i1 X
依次做下面的工作: 8 t, Q/ _0 S8 c! e. U
a.选取整个硬盘: ' u$ d/ Y5 K/ |6 L! f6 o5 U( N
system:完全控制 0 X9 s) k1 ]! {! E
administrator:完全控制
6 E! W8 H3 p6 l (允许将来自父系的可继承性权限传播给对象)
5 z' J7 C$ K, Z ^# Y* J, t b.\program files\common files:
5 w+ N* S2 X5 w+ \5 V7 g" w5 q4 ] everyone:读取及运行
" w& o7 ^$ c" d6 O 列出文件目录 : w4 @( J6 B- d# X& i7 b( N2 G
读取
4 E' g: r: o0 }+ { t; u (允许将来自父系的可继承性权限传播给对象) 5 }, V" c# A# ^ X: t# L- M9 M
c.\inetpub\wwwroot: 0 `9 O% Q+ A6 q: o+ K
iusr_machine:读取及运行 ; J0 j0 _# r. J2 ~2 G N8 ]- ?! T
列出文件目录
3 T4 M6 u7 P x' S$ V 读取 7 W! _+ L, v3 R2 L( l
(允许将来自父系的可继承性权限传播给对象)
0 Y+ y! a. } K3 x e.\winnt\system32: 2 ?/ _+ |& w) g: {
选择除inetsrv和centsrv以外的所有目录, 7 a' e- n4 e' ]0 U
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 / l, I+ o& s9 x# g6 o
f.\winnt:
$ M/ F5 C5 a- {4 V( @7 S$ q% r. N 选择除了downloaded program files、help、iis temporary compressed files、
; d6 ]0 M' ^9 W2 U+ A9 D offline web pages、system32、tasks、temp、web以外的所有目录
3 Y1 _+ \. \! W1 H* N8 h6 D 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; N, ~" S0 i3 v4 \& z9 z$ B g.\winnt: % w0 \8 _7 h) Y+ `* b: r: t
everyone:读取及运行
* _( |3 F5 M2 P X4 G& z 列出文件目录
' Z& a" n$ E% X0 L+ ~: f 读取
E9 m! {" ~7 ] (允许将来自父系的可继承性权限传播给对象)
! A( B7 Q6 _$ B/ a7 s h.\winnt\temp:(允许访问数据库并显示在asp页面上)
, b+ U+ V1 e7 g2 g5 W" l/ P H everyone:修改 % n, C& Z3 F( w: {8 h
(允许将来自父系的可继承性权限传播给对象)
3 v6 ]- X( S. f9 @1 B2 a, w10.如何隐藏iis版本
9 i( p! ^4 Q1 }4 u( r 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
) d" F' F: T% n) n iis存放IIS BANNER的所对应的dll文件如下:
v f0 l, Y# F6 K! U WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL J- p% ?) n! O" D/ L
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ' z) C- `: E9 x; G
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
* R1 F0 [% U3 y' n V% r 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 4 ^1 X |, G4 z2 R: t* Y8 z
具体过程如下:
# J9 V/ l5 ^5 ?. a5 M8 ] E2 q 1.停掉iis iisreset /stop
* X4 L0 n/ G3 s5 x' [2 |8 ~ 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 , N2 v/ H/ [3 c) [. ?
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
