|
一位高手整理的IIS FAQ . n$ K6 `8 [" R+ B
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ' }4 H1 y, T8 U0 D: L6 i6 e: G1 a4 b
1.如何让asp脚本以system权限运行 - ~6 T, N+ v3 I. x: I' F
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ' y$ u) g' @3 E
2.如何防止asp木马 - U" ?3 B1 a( o
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
' v- V! {7 ~! D' ?* A9 V8 A. s regsvr32 scrrun.dll /u /s //删除 " K1 G6 Z* u" F$ Q
基于shell.application组件的asp木马 1 x5 P- i& U. s% P
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 $ {+ B. o/ q- |% o
regsvr32 shell32.dll /u /s //删除
B; o3 `0 i, f9 A3.如何加密asp文件
' P9 }* F9 u, Z% @ 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ( O5 |9 y- f. E- m
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ; r9 r' E4 v! `& L
运行screnc - l vbscript source.asp destination.asp " B) b+ X/ a6 n% j8 P5 M9 t
生成包含密文ASP脚本的新文件destination.asp
z) b" E$ @ c- ?4 C3 N 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
: P* T% k9 t0 T& N* o 但无法加密中文。
% A. {5 K. N3 m3 C4 R& j2 c4.如何从IISLockdown中提取urlscan 1 K: v5 ?0 [; C4 c4 [7 b' }: g
iislockd.exe /q /c /t:c:\urlscan : Z* o1 s) x4 B" t3 [6 ?- o1 v
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 ( v# y3 M) \( P _2 g1 ]$ M8 |2 r+ S
执行 4 H% @, a( @7 @/ D( x; U
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True : Z; f& w4 K6 u: b2 j
最后需要重新启动iis + C/ a. v, A6 X1 e# ?9 l: X
6.如何解决HTTP500内部错误 " I) z% C! Q$ A
iis http500内部错误大部分原因 $ J2 t5 [9 a9 F; e" N% x0 R
主要是由于iwam账号的密码不同步造成的。 ; c6 O) c! L, F P/ q3 ]: m% d' l
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
. y* i6 ^* \4 }6 Y1 Y& n+ \ 执行 ! }- E: S @8 q7 w# X/ E- I
cscript c:\inetpub\adminscripts\synciwam.vbs -v
8 I. ?6 d, @& b6 U% S7.如何增强iis防御SYN Flood的能力
" O' ]: ^: a Y( M4 q* v! b( ^ Windows Registry Editor Version 5.00
6 L7 \3 x8 i! g3 B' F( j, g. e. l [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ) E& y& r" \* k6 y, U
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
) i2 Z M3 m1 @( d 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 0 n6 C( Y) `2 ^8 G+ C
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
$ j: q" o& x- n! t( p "TcpMaxHalfOpen"=dword:00000064
5 S1 W" h2 j! r$ n+ U 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
/ i. v; S6 z. h9 k X/ _4 w% D) B "TcpMaxHalfOpenRetried"=dword:00000050 1 V0 A1 b/ {! \( j
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
) Q' I w- k2 ]+ P7 u' m 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 7 P% T4 e; S/ Y: B3 U5 z
微软站点安全推荐为2。
5 [! t6 t( m& O/ `' D6 r "TcpMaxConnectResponseRetransmissions"=dword:00000001
3 m4 W4 F a+ E# h* w 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 1 Z' J8 s. w2 Q# a
"TcpMaxDataRetransmissions"=dword:00000003
' K( G( s: ?3 b: X/ ?6 Y$ G/ B 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 + L: r# O- z9 m- V: r$ k& ?# V
"TCPMaxPortsExhausted"=dword:00000005 # G+ k" v" Z- G0 l Y
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 + Y; S! }* N5 z" p& d
"DisableIPSourceRouting"=dword:0000002 3 B E6 ^+ m; P
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ! E' ~- ~: l+ p" e
"TcpTimedWaitDelay"=dword:0000001e
7 [" U- P' P! `4 z( N# |3 k8.如何避免*mdb文件被下载 2 ]9 J7 d. |4 r" L# D8 Z
安装ms发布的urlscan工具,可以从根本上解决这个问题。
% t# \+ `' R2 } `3 ?3 g, q 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
9 |1 I0 H( c8 X) j: V2 x9.如何让iis的最小ntfs权限运行
8 F) ]6 s: {, e: n) z: e2 F5 w 依次做下面的工作: R) j* C4 z2 n# R: y2 \
a.选取整个硬盘: 9 u* [( a* _* K, c( m
system:完全控制 1 V% w1 R* p/ G- [
administrator:完全控制 - D% U* Q' m5 [- X
(允许将来自父系的可继承性权限传播给对象) - }3 F+ V. G) p
b.\program files\common files: 1 K3 `! I: J4 A. y$ t* w
everyone:读取及运行 % P8 O( d# p" \: [- W: A% _$ _
列出文件目录 9 S+ |# i { {" n
读取 ! W7 s' `# D) }1 f
(允许将来自父系的可继承性权限传播给对象)
$ ?9 s5 F& ~" F T0 p9 K c.\inetpub\wwwroot: 8 H& P5 ^( m: [6 m4 I
iusr_machine:读取及运行
9 M( ^9 e+ ?% q- t$ v X 列出文件目录 6 a1 _1 g4 d/ `
读取
' F- d( Q; G9 b) A5 [ (允许将来自父系的可继承性权限传播给对象) $ S5 o1 ^; c U4 |* G; _
e.\winnt\system32: ! [ m2 G$ Y h$ f$ ]( u& c
选择除inetsrv和centsrv以外的所有目录,
" s/ u# }; d. E 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" ?, |" m0 H4 ^) `1 h f.\winnt: . v3 L6 W- K& K
选择除了downloaded program files、help、iis temporary compressed files、 ( v5 L# a$ K0 P- ^. {6 A
offline web pages、system32、tasks、temp、web以外的所有目录
3 w, x6 ^8 g# O: D- U% o, C 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ K+ `7 d* N% A+ a# e3 S g.\winnt: - Q! y( ^7 ?- ?: a/ M
everyone:读取及运行
! Q% M; d# W) Q( x* Z) g, U0 k1 y 列出文件目录 5 N+ u) d9 Y- ? t- p; U- T% M
读取
+ k8 K8 j, U& @2 s7 m (允许将来自父系的可继承性权限传播给对象)
9 t/ c1 @+ H8 q4 E" E' T- T' }6 G h.\winnt\temp:(允许访问数据库并显示在asp页面上) # X. `) S# M' Z6 L+ X
everyone:修改
4 U. {% ^2 [$ P- K8 c- ^3 ~2 X (允许将来自父系的可继承性权限传播给对象) 6 j* z) _% a- h6 M5 b! S: Y
10.如何隐藏iis版本
4 H; J+ M5 f( P2 w. L& Q o 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 8 E- N2 H7 t; F- \- t
iis存放IIS BANNER的所对应的dll文件如下: 1 Y* E/ s# }& S" i
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL ; t& A& r+ V- E3 c7 X
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL % K9 y7 p) _4 |
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
4 @! k* X8 w3 _5 I4 \7 v3 _3 k 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 0 Q6 O" r5 Y! v+ O
具体过程如下: ; u. C5 q, @ q1 g3 i5 f
1.停掉iis iisreset /stop $ q* ]% f2 x3 \3 i: c1 J2 U
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
4 J% M$ Q+ d+ i" w" ]2 X 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
