一位高手整理的IIS FAQ
) L$ _3 P- j6 x下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
2 K8 }" b, ~, R+ ~ O1 |1.如何让asp脚本以system权限运行
7 A$ |. {% o- K3 ^ 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
$ `' W) f" v" i3 n- N2.如何防止asp木马
0 u3 j" m3 y4 z3 l 基于FileSystemObject组件的asp木马 cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 ! _/ e" ~; M, u9 u
regsvr32 scrrun.dll /u /s //删除 $ y, j1 `$ Q3 f% R
基于shell.application组件的asp木马
: \- G' x4 r. k cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
" `2 ^* D0 r4 o3 G regsvr32 shell32.dll /u /s //删除
2 [$ x9 }5 M* y/ o+ C3.如何加密asp文件 ' z I" ^* Q- e2 x$ X& v6 F
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
4 d+ ]) [' j# T# x3 b1 }* P 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, k$ Q5 W! @) X9 v 运行screnc - l vbscript source.asp destination.asp
/ ]9 `% a8 m7 T% S8 _! ^7 H: E; }! U 生成包含密文ASP脚本的新文件destination.asp 5 E8 J5 ?+ O7 L: v+ v2 g9 Y E
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
" u2 U5 F, M/ z v# p 但无法加密中文。
0 R V8 I" e8 J$ Q3 i8 `8 O4.如何从IISLockdown中提取urlscan
3 ?* a- G# L# Z iislockd.exe /q /c /t:c:\urlscan 4 ?, N* W7 j3 _
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
8 v7 U& Q. v4 J/ A S* U# ~ 执行 ' n. c; t# u, ]4 w
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
, ^6 A7 l( _: C2 Q8 v 最后需要重新启动iis ! R$ F: H; w# u; B: J9 S
6.如何解决HTTP500内部错误
3 Y3 ?# [6 h/ z1 V: U$ ]+ q iis http500内部错误大部分原因
N5 w( `4 B( C- K! u 主要是由于iwam账号的密码不同步造成的。 2 `3 i. {; m$ D$ ]- n9 J! ?
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
) j8 v/ L* O, `% N1 a- S: @ 执行
- X' j* J" N( m& u. h* @/ \ v cscript c:\inetpub\adminscripts\synciwam.vbs -v 6 N# A& i1 M7 J( J( q( E) G3 C
7.如何增强iis防御SYN Flood的能力 * j, y7 h% R/ m) p/ p1 R
Windows Registry Editor Version 5.00
! ~' p' G3 S/ B4 o8 l$ a1 d [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ) F5 _7 q- y9 E8 G/ U& r' a+ l7 m$ ]
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
! s& V5 B! k+ p1 ]" g6 b 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
; t) } r" L' T; h "SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# E$ w! R# {9 K! P! }8 y/ w "TcpMaxHalfOpen"=dword:00000064
3 d( W, I6 ^, r0 g' e 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ' Y6 A. y/ x# a- {
"TcpMaxHalfOpenRetried"=dword:00000050 ! C+ @# x! [5 m* \2 m
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 7 B( w+ E% K4 ?
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ! X y) P2 Y' U! C7 t. Q8 x
微软站点安全推荐为2。 5 m* A' d& O0 y1 ^
"TcpMaxConnectResponseRetransmissions"=dword:00000001
; A- j5 g. o7 `/ m8 W2 o 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 6 ?9 k! H$ j4 H( i9 O7 y3 S
"TcpMaxDataRetransmissions"=dword:00000003 ! m5 z1 d" H% l) N3 _! Z
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
7 P4 T% K, t# J7 X. s: H "TCPMaxPortsExhausted"=dword:00000005
) s. x' b R( O9 p# D B% @ D# S4 m, Z 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
4 _) H+ ` c$ O9 L* T. L "DisableIPSourceRouting"=dword:0000002
7 ~( Q4 o0 j) W, V% O 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 4 f" n2 X! y) A
"TcpTimedWaitDelay"=dword:0000001e
1 S" d% N; r0 [: l8.如何避免*mdb文件被下载 ' h0 b- V) @# \: E( I* D" \
安装ms发布的urlscan工具,可以从根本上解决这个问题。
+ W% b. w+ r2 U; @4 Z X 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 L& d [1 u6 j
9.如何让iis的最小ntfs权限运行
+ f i: W; Z( k4 T( i6 L6 _ 依次做下面的工作:
9 a- t) n8 z+ U+ _ a.选取整个硬盘: ' c, A E' o3 |/ @5 ^) q2 F9 o
system:完全控制
& w. `$ b0 ^- J7 i! U& K& ]3 @ administrator:完全控制
3 p- `2 o7 A" K% v (允许将来自父系的可继承性权限传播给对象) $ o B2 _0 `2 t: I8 L9 w
b.\program files\common files: 9 O; u! }- [7 r; w
everyone:读取及运行
' \0 Z3 ~; I8 B, a0 c5 [ 列出文件目录
- F1 A- z1 _; m1 H) X) h/ v 读取 0 D0 j+ M. V2 u% [. g- B G
(允许将来自父系的可继承性权限传播给对象)
/ ?) p6 z. d f c.\inetpub\wwwroot: # y; v# T6 b$ G; k; z; }2 k
iusr_machine:读取及运行
0 l1 {8 ^% E; d9 r R 列出文件目录
0 f0 g0 {3 K% M" ]/ M 读取
" f+ H, ^6 h5 d (允许将来自父系的可继承性权限传播给对象)
% ~" ?9 i7 g: ~ T$ K4 C e.\winnt\system32: % t3 M3 U- B, ^6 v- t
选择除inetsrv和centsrv以外的所有目录, ! O$ X: y5 b0 R; ~) P
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
z" |; ?; E H8 X6 E% a$ N" ^ f.\winnt: 6 M, Y! K1 n* {
选择除了downloaded program files、help、iis temporary compressed files、 & @1 {( U8 r5 r' q
offline web pages、system32、tasks、temp、web以外的所有目录
: e8 h( i7 ]* w5 ?5 ^( G 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 0 `1 z. R! N9 D- d" d6 l
g.\winnt:
A" v: K. Q8 R everyone:读取及运行 9 @7 ~* f' @: q3 ` j& `
列出文件目录 7 G2 ?% }$ v# e( |
读取
9 V4 a, O# d3 Q* Z9 ^2 a/ Q; b8 O (允许将来自父系的可继承性权限传播给对象)
1 p, _) E+ Q$ [7 Z3 Z. H h.\winnt\temp:(允许访问数据库并显示在asp页面上)
# g1 {# w! d. |& W8 s. [ everyone:修改 " r/ i, j. o" u0 A- u8 r; ~0 I
(允许将来自父系的可继承性权限传播给对象)
. i# B7 d i; ?- y10.如何隐藏iis版本 ' }0 H- m& w8 Q2 M
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 7 D. l7 i+ P3 }% L8 L) `
iis存放IIS BANNER的所对应的dll文件如下:
a: Y$ p) w6 y! _% M( D( ~2 F5 W WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 6 G! ^6 u( n! H0 i# U& X
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 7 J5 N9 A3 u i) I+ i
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 7 F( J; J% M$ F& a) p/ R2 q# b
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
* a4 R7 E) D& ~5 H" \ 具体过程如下:
5 j1 `5 n% t: l) z 1.停掉iis iisreset /stop 0 |% I& O: J- h( t( d; }0 V
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
' F6 }' E. F* w2 s7 b 3.修改 |