|
一位高手整理的IIS FAQ
9 H, ^3 b3 ]- ?7 k( a下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
4 _7 ^. F% ?& V( L1.如何让asp脚本以system权限运行
& V' H5 Y5 S7 K, g 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 1 O9 [8 G0 X/ v9 b
2.如何防止asp木马 ) e( O _6 p, ^8 ]. } V' g
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 ! }8 O6 @* f0 {( c9 M& w! W
regsvr32 scrrun.dll /u /s //删除
0 a( ?5 A) }# f: ] 基于shell.application组件的asp木马
o+ h( E6 J1 Y! Z I) {$ L4 v cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
2 E4 n1 T7 ^9 O ]# X( O' O- { regsvr32 shell32.dll /u /s //删除
4 s) |( `7 A# m3 u1 ^) s4 q3.如何加密asp文件
) o1 ]- g( t5 j( @3 b 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " Z( y; I/ t" _$ @
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ) k+ S5 @, M4 j% U
运行screnc - l vbscript source.asp destination.asp
8 A5 O+ j. L5 i7 r( W: n/ j& G 生成包含密文ASP脚本的新文件destination.asp 4 L: d1 F' m$ }" d" @8 F
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
$ W* U1 K% U3 m3 k( ? 但无法加密中文。 ( ~ \9 e3 \% j( _4 g2 F
4.如何从IISLockdown中提取urlscan
+ l0 ]0 {- o. j' r% _% M8 L iislockd.exe /q /c /t:c:\urlscan f' S$ r; W1 s5 B# N
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 ' J' F9 M% v; }; P
执行
- H2 n; p1 l' t8 ` cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
( U C# e9 `5 s3 G" k2 m+ ^2 E 最后需要重新启动iis
, x7 E2 P, D# f- u1 v' @6.如何解决HTTP500内部错误
( W' D# @" j+ ]0 p iis http500内部错误大部分原因 " E+ T5 ?$ j! a9 H" N2 W8 N
主要是由于iwam账号的密码不同步造成的。 % ^/ p$ ^9 D( O; j4 K7 s
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 9 {3 Z! P" T9 `' _4 d0 I
执行
9 C# S, G; L0 k; h. E' I cscript c:\inetpub\adminscripts\synciwam.vbs -v " }, M# }# q& h( ~6 X+ u( v% S' z
7.如何增强iis防御SYN Flood的能力
" f# @" v1 k/ D k Windows Registry Editor Version 5.00
- A9 K8 Y9 r5 v3 ?7 F% @ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
% s# _* [) b) K0 J( { 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 . O: L- o) y4 Q; b# A* X
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
- \" z; o8 D* ]- s0 @$ Y( @7 H "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ' U9 `: d9 F# }4 ~/ c" `8 S% x
"TcpMaxHalfOpen"=dword:00000064 + E& c* `% b0 p9 p1 a" `5 ^
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 v n7 p! }& h4 l0 n) Q( A! t
"TcpMaxHalfOpenRetried"=dword:00000050
1 s L/ j6 F% P 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
; T( y/ ]; {/ U" _' } 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 / o/ `4 R' z: m# y) n7 d
微软站点安全推荐为2。 ! K" Q; ~4 O5 k) F& C
"TcpMaxConnectResponseRetransmissions"=dword:00000001
$ u; F o6 N+ f9 I5 N$ ~' ~ 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 / Q* K) o( t u! p
"TcpMaxDataRetransmissions"=dword:00000003 , C6 R9 s6 X8 a n3 }0 f
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 , y. O3 }) T6 }+ H0 r# g4 u: Y
"TCPMaxPortsExhausted"=dword:00000005 2 c* v' i8 `9 ], C
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
' G) e0 y& x" ?7 B0 c: E+ ^ "DisableIPSourceRouting"=dword:0000002 1 [ J) s9 s' M( G" N
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
/ q: x( I5 h u0 g$ M: v "TcpTimedWaitDelay"=dword:0000001e ( w5 t: c: W- B" ~
8.如何避免*mdb文件被下载
$ l9 K5 r* ]( q8 f( X) J8 T, A 安装ms发布的urlscan工具,可以从根本上解决这个问题。 8 ?% ^: ~+ z0 @% O% _1 x2 L
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 - c M# X$ {: O
9.如何让iis的最小ntfs权限运行
" C1 W) e# h% V# K! u 依次做下面的工作: 9 Y S; u2 Y5 m5 g/ y: g
a.选取整个硬盘: ) a" [. G _( {& _7 Z) u
system:完全控制
$ m/ Z+ G; l1 i9 t1 ?2 @ administrator:完全控制 . V! F l: V/ s r! U# x
(允许将来自父系的可继承性权限传播给对象) % N! F4 h0 d# m6 k$ E; x% c5 u0 \
b.\program files\common files: 6 f: K b5 d6 |+ g v6 }+ _
everyone:读取及运行 9 o( U- U, w! m, u
列出文件目录
. k* l' G7 H9 V 读取 ! z2 L8 M: s" N9 [" J
(允许将来自父系的可继承性权限传播给对象)
4 R2 M' P% S3 ]5 Y- i c.\inetpub\wwwroot: & [$ L- b6 y x' w2 U8 A
iusr_machine:读取及运行
' X, u8 ~0 k5 ?2 c8 U! _ 列出文件目录
" x8 ~, ~1 I: t/ M$ e 读取
7 d4 w m8 \& `( p8 E; R (允许将来自父系的可继承性权限传播给对象) . E) J y# i' z8 h0 M" @
e.\winnt\system32: 6 {) o, M+ e7 c. e
选择除inetsrv和centsrv以外的所有目录, & n& f( W; ~# C; f) `
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 4 h [% z7 P% M
f.\winnt:
; A g3 s- C8 F2 z' E7 u 选择除了downloaded program files、help、iis temporary compressed files、
( N* e) Z1 u; u+ I offline web pages、system32、tasks、temp、web以外的所有目录 ; i. g9 H9 Z% \
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' A4 e6 [* q) b: o% ^: F( _3 D5 D g.\winnt:
- l$ @0 L' A0 j' [0 y# e everyone:读取及运行 / [, I* b2 D& k4 x4 d
列出文件目录
2 f- `9 o5 p+ S y* A- K6 } 读取 y" w- [2 H1 F& P8 Q7 M
(允许将来自父系的可继承性权限传播给对象)
; G5 E# _2 o# [1 q4 H1 M h.\winnt\temp:(允许访问数据库并显示在asp页面上)
5 d4 X' Z. ^ I7 ?" K J. F; h8 n everyone:修改 8 O( k. A6 E; ?" |5 c
(允许将来自父系的可继承性权限传播给对象) 3 Z" e8 V/ b1 D8 _; P* i
10.如何隐藏iis版本 * |6 u! i! c9 K! g0 e1 ^* k& l
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
; X( Y0 n0 @, w: Z4 S iis存放IIS BANNER的所对应的dll文件如下: 2 n F: \: j3 s
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL $ h5 w# n: t6 V6 `: T' }7 O
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
# R$ E5 e& _( L: E" r" I SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
9 K5 u7 `+ n M' r2 ~& X* F 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
+ @; L2 s' O( Y. O6 [- D3 N) Z# j 具体过程如下:
?/ B2 j% Y6 H 1.停掉iis iisreset /stop 7 Q, K9 {6 c3 V6 H) T: y
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 7 J" A* h! l3 n
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
