老秘网_材夜思范文

标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ [打印本页]
作者: 中国老秘    时间: 2010-5-10 17:00
标题: iis安全防范方法精华:一位高手整理的IIS问题答 FAQ

一位高手整理的IIS FAQ

( d# E# i3 Z" f; I! P# G

下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!

0 f; h4 N% w8 I7 ~3 X" h" B6 c

1.如何让asp脚本以system权限运行

. a" Y' q' K7 j9 n$ ~. g

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....

) K; i/ T' P; w# E" j1 K

2.如何防止asp木马

; k& A# X9 k& Y1 P

  基于FileSystemObject组件的asp木马
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

' F, |& V" [* R5 V

  regsvr32 scrrun.dll /u /s //删除

5 S8 g R0 A( r

  基于shell.application组件的asp木马

) I q0 Q+ Q0 q' K/ k5 X) g. v

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

$ L5 i) P7 [: M) {( ^9 Y5 K

  regsvr32 shell32.dll /u /s //删除

- U& A. C8 m9 Q# {6 J5 i; f0 b

3.如何加密asp文件

4 ~1 t% s) |( O# R+ f# g. y5 r" O

  从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

" [" ~- g8 I( H+ \% N0 c0 t) p

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

6 ?: J" L- W. G: A. o* E3 F- D

  运行screnc - l vbscript source.asp destination.asp

; m$ m! n0 R* ?

  生成包含密文ASP脚本的新文件destination.asp

3 k3 c9 N, ?1 c3 _$ i1 y+ x

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

$ f6 N( [% W+ v' ?! g

  但无法加密中文。

- s2 a1 s# w8 x7 k6 |+ ?6 X

4.如何从IISLockdown中提取urlscan

: U4 w& W- l3 Q% Q0 U

  iislockd.exe /q /c /t:c:\urlscan

9 D" K, P& Y7 B! Q% R

5.如何防止Content-Location标头暴露了web服务器的内部IP地址

& _7 d" d- |7 S" r/ b& j

  执行

) Y) L- C# i/ d) ?, l9 s& o

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

& b' S0 p2 ]$ f; i# D3 W

  最后需要重新启动iis

* X+ t5 {7 J1 L# l" @& w

6.如何解决HTTP500内部错误

& O3 t( ?. K" S9 S1 G# `

  iis http500内部错误大部分原因

% k- L/ s- P8 w; v+ s1 X$ y( k7 F

  主要是由于iwam账号的密码不同步造成的。

- g( t6 Q; H+ E" S% D

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

" I) ^4 j6 j; Z3 X# a! ~

  执行

S5 l9 u( O. U3 `$ k" p- W

  cscript c:\inetpub\adminscripts\synciwam.vbs -v

; H5 ~, a9 ^& _3 Y' `

7.如何增强iis防御SYN Flood的能力

. s- j& k- t8 W4 y2 e$ |* N. N

  Windows Registry Editor Version 5.00

: ]/ }6 K% a z

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

" { n/ P+ o% m( X8 E1 p

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

8 P. n( Y0 D+ n( ^3 y! S. V

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

/ ~1 m) x: H8 N6 q, N' }4 `3 i

  "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

( C8 z, |( j' A) { k9 R8 w

  "TcpMaxHalfOpen"=dword:00000064

* m2 c* g9 J7 ?, A; C9 s+ O

  判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。

9 c5 x$ L; U2 ~; I% ~

  "TcpMaxHalfOpenRetried"=dword:00000050

2 ~" w7 D4 F% K

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

& f0 j* e5 a- W" T- w, Q

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

, ~, a1 C- [$ v! i1 c/ _( \5 M" F

  微软站点安全推荐为2。

3 e5 D. `0 N$ Y0 P! E

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

' U* W& z* f. }" O: Z

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。

9 M% P' _( S% [# p0 p3 a9 C+ X

  "TcpMaxDataRetransmissions"=dword:00000003

4 J S8 k* r' G, z# w+ N

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。

0 I) A6 P5 |) z. t

  "TCPMaxPortsExhausted"=dword:00000005

) \: o3 Y" h- P1 ~, U

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。

7 ?: v- N& q+ D1 [* n9 B

  "DisableIPSourceRouting"=dword:0000002

. y! C; T! b* m% z

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

7 h/ z9 t) [% ?& k" v. i

  "TcpTimedWaitDelay"=dword:0000001e

/ ]$ Y3 l! H' s1 v2 l

8.如何避免*mdb文件被下载

% ]" @% N' W6 z1 t( {8 z8 B

  安装ms发布的urlscan工具,可以从根本上解决这个问题。

1 J0 L8 P6 J$ p V

  同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。

/ y0 a7 L+ b$ L% g

9.如何让iis的最小ntfs权限运行

0 Z- X4 x6 Q: m, ?2 `) S O2 D1 W

  依次做下面的工作:

& l& E y R8 i/ u

  a.选取整个硬盘:

1 A' a/ V9 V* P8 p8 [0 X

  system:完全控制

) m+ j& c7 R' J3 P* N" |" k0 L

  administrator:完全控制

% n" G7 W. ~' Z

  (允许将来自父系的可继承性权限传播给对象)

# |0 N8 _% T P+ T$ f& K

  b.\program files\common files:

; G9 f$ m$ j, q6 A+ f+ M5 L' ^

  everyone:读取及运行

; m# P# b. v3 r0 [3 S

  列出文件目录

( R( Z9 h$ e' f9 \) U5 j) ^1 d

  读取

3 d: m. o; J. G$ d& h F

  (允许将来自父系的可继承性权限传播给对象)

3 j2 E0 O( K9 M0 }, S2 `0 @: b- i

  c.\inetpub\wwwroot:

/ H0 Q6 N# [- I( a" z. p' n4 x

  iusr_machine:读取及运行

% q0 S! S2 z3 T! W( n R( `

  列出文件目录

& @/ \; n+ k1 f8 Q* a

  读取

6 M# K4 ?$ ?" U( V. \3 N4 t7 {4 `

  (允许将来自父系的可继承性权限传播给对象)

1 v G2 c; J d: b" H

  e.\winnt\system32:

& U. U: i( g0 V w" s. r/ \

  选择除inetsrv和centsrv以外的所有目录,

; k- y& X) P$ z! A3 N8 }

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

/ Z8 |. H# W- y5 G6 o0 {

  f.\winnt:

& @6 y, v, ]# |) X: p- A: }

  选择除了downloaded program files、help、iis temporary compressed files、

7 ~4 d) @8 A) [7 J2 R

  offline web pages、system32、tasks、temp、web以外的所有目录

2 Z- b# F; n: V* I

  去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

* o: l" n) H6 @. P

  g.\winnt:

' B& j" Q% a* B. ~0 h

  everyone:读取及运行

. l! N: V- {/ G$ c# Q0 F7 r

  列出文件目录

# V1 B8 S2 u" n1 R# x+ k% _

  读取

) J5 U" j7 q% N" s5 [* D! u4 Q0 F

  (允许将来自父系的可继承性权限传播给对象)

1 y5 X% ~+ q! ]9 w; [

  h.\winnt\temp:(允许访问数据库并显示在asp页面上)

* p; j% _7 a8 V6 Z

  everyone:修改

! U+ ?) Y# `: u$ c

  (允许将来自父系的可继承性权限传播给对象)

2 B0 J. ?" W' c: t

10.如何隐藏iis版本

# r$ k& j: ^$ E: ?3 ?- B! R* [2 A

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

! R; u' e+ w4 w8 v2 K) t. T& M; Y

  iis存放IIS BANNER的所对应的dll文件如下:

6 N! Y3 I/ n, v# C5 Z

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

: t) [* e# Y0 y- K$ J6 ~

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

/ [% T9 F- W0 r3 g& v- h

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

6 `8 r0 v2 ]& @* T# E) f

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

# H6 i+ ]# [( c i& }$ l- q$ \2 O

  具体过程如下:

6 d. i0 h5 B3 V2 ?- f

  1.停掉iis iisreset /stop

# [4 A5 [ I5 q1 h$ v* g

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

& D, A) I5 ]+ `7 M" F4 F0 R3 l; T

  3.修改





欢迎光临 老秘网_材夜思范文 (http://www.caiyes.cn/) Powered by Discuz! X3.4