|
一位高手整理的IIS FAQ ( }3 h& N0 ?* V( m- U& p" [
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! . r8 h; M1 t& `( a6 U
1.如何让asp脚本以system权限运行 " ^) g. D1 ]! G+ o$ J
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
8 u! {9 e4 x) @2.如何防止asp木马
/ t- k# N$ }& \$ K- C 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
# m. R+ k+ f6 D5 x* [9 g2 }' l regsvr32 scrrun.dll /u /s //删除
% L1 O1 |( Z X2 S7 z+ N/ f- ]# w 基于shell.application组件的asp木马
( h" a' C- z' ~- L' v+ ^- r cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, p" [+ N1 N1 s f2 X' Z! c5 A& ^ regsvr32 shell32.dll /u /s //删除 9 ^1 q# E8 K1 v/ J
3.如何加密asp文件
+ G$ j3 z$ J Q5 f8 Y0 a 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 : ^1 _! O5 S9 o% L5 G
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 5 l/ m/ p% A* Z; A, y& E
运行screnc - l vbscript source.asp destination.asp , ^5 m) M4 M u! A9 K1 o; y
生成包含密文ASP脚本的新文件destination.asp ) Y- C6 K, [* W( D( j
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
7 Q, l. C' H4 _7 @! Z/ H: G' s 但无法加密中文。
h6 v- Z g) K9 |9 o* y1 S4.如何从IISLockdown中提取urlscan + J1 L W/ O' z- u+ {8 H/ ^
iislockd.exe /q /c /t:c:\urlscan
# K, L% F1 J7 ?: X0 |6 l, D5.如何防止Content-Location标头暴露了web服务器的内部IP地址
" r2 @- ?5 {' a% ~6 k- } 执行 : c9 k8 J) o0 H
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
: A1 d2 Z$ g; Z( K5 K8 j 最后需要重新启动iis ' x( n- H$ N. b$ s
6.如何解决HTTP500内部错误 : ]6 N/ L* J: A# q
iis http500内部错误大部分原因 / x" a& S0 c- B9 e1 |( Z
主要是由于iwam账号的密码不同步造成的。 + @$ l3 A* ^6 U0 h! L" |
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
# \6 w! h2 c; W1 v# |; F 执行
: R- a0 `: ` K: L2 I/ D cscript c:\inetpub\adminscripts\synciwam.vbs -v $ J/ {, |9 C0 E
7.如何增强iis防御SYN Flood的能力 ) s/ \3 E5 W% @1 N- {5 J( F- R& b
Windows Registry Editor Version 5.00
' g9 E3 s! e+ @ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
% Y! o( E* E# N; ?* ] 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 - I/ _; P3 v+ u. ?, z( ?% Y% _0 A
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 8 s; I5 V1 e/ r& g0 D
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
" `2 ?8 f$ K0 w$ v9 r! L "TcpMaxHalfOpen"=dword:00000064 , b) i* a5 O, N9 S; \
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
- e, ^0 a2 r" G "TcpMaxHalfOpenRetried"=dword:00000050 / {) U7 t/ e' q
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ d' b% e! E$ X% d4 E, J 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
5 x* k+ `, J) Y- A) n( G 微软站点安全推荐为2。
& p3 j2 O8 O3 ~ "TcpMaxConnectResponseRetransmissions"=dword:00000001 ( D% O0 x: m7 }0 @$ M
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
; W& T8 U4 o: g! l5 C+ S$ w: \: L3 Q "TcpMaxDataRetransmissions"=dword:00000003
9 i6 `. _$ n, v7 a- a( L 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 3 }0 K4 V/ M# } o4 t
"TCPMaxPortsExhausted"=dword:00000005
7 P) ~* K) n( I* n# c# s" _, I 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
- X3 d1 s. C# g! O "DisableIPSourceRouting"=dword:0000002
& a- K/ l1 w0 A% n2 w4 t' r 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
! L* u8 z `/ [ "TcpTimedWaitDelay"=dword:0000001e ( _3 K$ n& S# {2 x: O0 C* |5 A
8.如何避免*mdb文件被下载
! O6 O, O1 ~& K* D8 S 安装ms发布的urlscan工具,可以从根本上解决这个问题。
; o6 c) ?8 {/ a1 S 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) @: ?4 n& ^, t# O5 Y1 d9 G9.如何让iis的最小ntfs权限运行
6 T( W% Y- a `% Q8 ?" J 依次做下面的工作: + x- N" u' ?1 m0 G+ y' G- j; G
a.选取整个硬盘:
/ Z) r* Z" o8 g system:完全控制
. }0 Z8 @* \6 F+ Q6 ^: m7 p administrator:完全控制
6 Y4 R% q" w# u% U# X (允许将来自父系的可继承性权限传播给对象)
! M) O, K7 T, b" x, } b.\program files\common files:
4 i$ k3 ~5 Q: o' m. y- S everyone:读取及运行
! K, S* f3 u$ E: z, B3 r: R, _ 列出文件目录
( G$ F% y( n% f J 读取
4 q' j! Q" \" g (允许将来自父系的可继承性权限传播给对象) 2 G4 ]9 J; l, y; I9 s
c.\inetpub\wwwroot: 6 ^1 P/ ~, P+ F: R4 @; o
iusr_machine:读取及运行 " |& W3 g% d h% D
列出文件目录
, g; g, x8 v; m2 Y R# z0 _/ F0 Z, b- [ 读取 6 Q( Q; e3 W! b% g$ b) Q! K$ e7 z
(允许将来自父系的可继承性权限传播给对象)
* `! Z+ U9 ~( D- B3 C e.\winnt\system32:
' h& K4 l% j% X/ d- g- z 选择除inetsrv和centsrv以外的所有目录,
0 W2 A, v$ ]4 a9 ~2 `7 V/ L 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
K. e* W9 m& q3 ~4 g* u f.\winnt: 7 J2 E$ v) v. _) m! i# G$ ~% h
选择除了downloaded program files、help、iis temporary compressed files、
$ [6 j$ g& F, Y+ m$ L3 m# f' K/ P& c offline web pages、system32、tasks、temp、web以外的所有目录
`0 {6 p1 z8 `5 I 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* c0 g; y% |7 G g.\winnt: 0 z. |9 \3 {! _. y2 ^9 c' R. ^
everyone:读取及运行 $ z6 @/ R( I% T* y
列出文件目录
6 K! [5 M2 o: b+ k+ N: M( b 读取 $ `- e1 c3 v% u1 A$ n7 u# K
(允许将来自父系的可继承性权限传播给对象)
& ?2 l4 x& m9 | ^6 P h.\winnt\temp:(允许访问数据库并显示在asp页面上) $ |# ~, ~2 q3 [( b' e; q1 r8 n
everyone:修改 ) J/ V; S7 p) Z+ Y, J+ z# y' K
(允许将来自父系的可继承性权限传播给对象)
; t1 R, _2 C: q* S' X10.如何隐藏iis版本 1 a V2 j6 F. I% g9 P% v0 E
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 9 c$ E8 {2 T" [
iis存放IIS BANNER的所对应的dll文件如下:
. r6 m* B/ P8 ^% r) T* D( i WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 3 @4 \. J' }! \( f4 Y- S
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
5 f5 [3 d2 A; V% R( N! g SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL . Z$ w' }7 G5 i- U
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
! x2 o, }4 f% b8 j 具体过程如下: 0 |6 |3 {1 n/ y/ D" R
1.停掉iis iisreset /stop
$ e1 J& Z/ W& k8 S 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 8 i8 N3 g7 p0 O, u, X" W, h4 V
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
