|
一位高手整理的IIS FAQ ( ]1 ]7 g6 G3 o
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
" c! q# N* w( q0 F' `# O4 _1.如何让asp脚本以system权限运行
9 R- a5 ]1 }! I9 ~8 ~+ u/ Y 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... % D: F- A) T4 G! i4 w0 D
2.如何防止asp木马 1 y' a# K( z) B+ y. N; p6 P
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
1 t; y3 @% [( z' l' O/ j0 [1 V0 L9 B. b& p regsvr32 scrrun.dll /u /s //删除 , g$ Z/ v& _6 b! L- i, l7 B8 X5 Y
基于shell.application组件的asp木马 9 N) F: v4 p, e
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
9 r6 N7 E0 k3 u5 B! p- Q1 m) w regsvr32 shell32.dll /u /s //删除
# G* [5 z. h8 b3.如何加密asp文件
& }. Y2 O; `9 @) ? 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 8 k; B- t8 |; K5 U, a6 H# a3 {8 k
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 9 ^6 ]0 c6 D0 D; E! F5 P% ]
运行screnc - l vbscript source.asp destination.asp 3 U- W3 U9 g) x. I
生成包含密文ASP脚本的新文件destination.asp
7 H4 K* G' n+ y* i$ b0 \8 H! p 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
- b# `% ^0 q/ n6 o* m 但无法加密中文。
0 w8 e, u/ V: q; u" a* w4 T4.如何从IISLockdown中提取urlscan - p2 t/ s$ Q& J7 C: M" K" k: @/ Q
iislockd.exe /q /c /t:c:\urlscan , {/ m0 Z) V* q
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
+ X0 y) Y* Z, N2 K/ ] 执行 * v7 h ~2 X: S
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True ! J2 i/ I0 a% p
最后需要重新启动iis : w2 q2 c4 }9 c/ L
6.如何解决HTTP500内部错误 5 h) U$ P1 T" Q0 e0 s
iis http500内部错误大部分原因 % ]* S( c1 I& N/ F8 Z! n4 }
主要是由于iwam账号的密码不同步造成的。
; M/ X1 \) g7 i6 q 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
! D. z2 I: k6 w 执行
! |( N3 a. {, K- ? cscript c:\inetpub\adminscripts\synciwam.vbs -v
3 M! K" [$ B3 Q& u2 W7.如何增强iis防御SYN Flood的能力
a3 z2 _* }) ]; c6 O Windows Registry Editor Version 5.00 \3 E3 \; a) P4 t2 T) ]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
8 c" r) m' N7 z! W& w7 l 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
! G+ J: N' V; n' }$ b+ q0 } 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ! W* l8 ]+ Y0 \9 `# r8 {
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 / N9 h8 x& N( Y
"TcpMaxHalfOpen"=dword:00000064
+ z# c7 I, E- z2 e2 H" [ 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
, K8 ?7 W. ]2 l" i" D0 Z "TcpMaxHalfOpenRetried"=dword:00000050 5 b0 @" X" ~" x0 a0 i: @) u* Q$ m S. `
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' o( @ n, c' p 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
2 A* q" u2 Y; Z7 B8 z' K% v2 a' B+ I n 微软站点安全推荐为2。
% e7 e! F2 Z, N2 \5 P "TcpMaxConnectResponseRetransmissions"=dword:00000001 - I1 W5 |3 l. T0 i, _1 j
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 3 t4 y6 I) W- z5 h" ]
"TcpMaxDataRetransmissions"=dword:00000003
# p! @1 M/ e$ B0 H& b( K5 a 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
' v% J p8 ]! w1 Q2 K9 Z% K "TCPMaxPortsExhausted"=dword:00000005 " i1 H' Z/ N( r
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 + V3 ^: w! j$ |- q+ ?
"DisableIPSourceRouting"=dword:0000002
# m; f( F V6 h9 _0 O7 n# ^ 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
3 G2 r2 c: a" F, L# x2 A ^8 O "TcpTimedWaitDelay"=dword:0000001e
, K# W6 B6 ~$ B" }* u8.如何避免*mdb文件被下载
8 w# f4 e3 p& p6 t/ `* p% W 安装ms发布的urlscan工具,可以从根本上解决这个问题。 + k/ B9 d8 ] ]" _# ~: ]
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
$ d; A2 T* _+ a' O. l$ H5 Q9.如何让iis的最小ntfs权限运行
! O( u' I+ Z' z P$ l( l8 a 依次做下面的工作: 5 O& g, w* Y: S6 x4 a, {
a.选取整个硬盘:
9 h" y% a* O5 T- z, i4 f) w1 N% w; n system:完全控制 3 Y0 b% f% L' l
administrator:完全控制 5 a8 m8 B/ R( M# l
(允许将来自父系的可继承性权限传播给对象) . c! B% T7 c# a( J' @ T
b.\program files\common files: / p+ u, l i2 x
everyone:读取及运行
; h: T6 z* X4 a% J, G 列出文件目录
$ u) M( b, V* b+ |% t F/ F% [ 读取 " a3 i" L8 I! P) d [- q
(允许将来自父系的可继承性权限传播给对象)
4 v" q7 _( I& V c.\inetpub\wwwroot: ; U1 ~; P* _9 n" Y1 ~5 ~; j
iusr_machine:读取及运行
1 \* @& C* x% f" u9 y" ~% m 列出文件目录 4 d f; g3 y' R8 d% `# Z$ y. h
读取
9 [' b6 X$ z% V" H$ | f (允许将来自父系的可继承性权限传播给对象) - p# X9 a" W0 M, C5 j- o
e.\winnt\system32:
, F) n; `; _" V5 ?- ~' f 选择除inetsrv和centsrv以外的所有目录, 6 G. S! P* c' T8 |3 f
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 W7 _# _ `9 w! M1 D% g f.\winnt:
8 b6 y( H9 {0 j6 T3 H, P 选择除了downloaded program files、help、iis temporary compressed files、 " ^. S& j* d$ }+ R+ z
offline web pages、system32、tasks、temp、web以外的所有目录
% E0 k g; b7 v4 K2 K 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 o5 W7 m6 B7 }: w9 u g.\winnt: 3 g2 v' s: c+ a8 k! \
everyone:读取及运行
/ D2 Y7 v7 a& U* j- A& S% F* }+ e k 列出文件目录
. d2 v2 N6 I7 w5 ]/ v 读取 $ h: T* _9 O+ Y. p
(允许将来自父系的可继承性权限传播给对象)
& q4 n7 |# L: C0 \" z8 B5 I6 z h.\winnt\temp:(允许访问数据库并显示在asp页面上) . `7 j9 S6 I4 b1 v3 G5 w
everyone:修改 7 p [6 z7 z( S: d+ m/ K+ R9 l
(允许将来自父系的可继承性权限传播给对象) ' a! D) d/ ^7 T# B
10.如何隐藏iis版本 . A0 o& k7 H! j7 g
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ( v+ @8 m' q8 ^6 |' P% g
iis存放IIS BANNER的所对应的dll文件如下:
. y/ x+ f6 i6 ?; \; G WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 7 q* J! u6 x8 b }3 J
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
" a1 p8 f' t! S" D) _6 \; J SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL - E! H9 V6 P0 r7 ~# F
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 8 F" c0 i% ?5 n, k
具体过程如下:
- f5 T ^, Q0 ?( |6 |* \ 1.停掉iis iisreset /stop
1 G5 @/ G& q1 c6 b& u8 b; z: v 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 * W( ~ _- y. m7 A
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
