|
一位高手整理的IIS FAQ
: K2 x% v& _- X& B9 q. w2 `. Y8 h K& H下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
0 T3 i' Q1 Z8 L6 e: K# R1 n1.如何让asp脚本以system权限运行
* x" f/ l# u9 J: h! M3 t/ A 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
. Z o# p2 ~) V5 R! P. w* d& X$ Y2.如何防止asp木马
. n! | h; I" k) q 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 4 ]$ y5 @) L9 d, s% K" |, ~
regsvr32 scrrun.dll /u /s //删除 6 ]7 s H0 d$ ~, Z
基于shell.application组件的asp木马 3 N7 C8 X( X0 @
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 $ G% Y$ F& a5 s3 m% x& n
regsvr32 shell32.dll /u /s //删除 8 h! H9 v6 m3 |
3.如何加密asp文件
# f& s* O/ r6 y" ?' | 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 , |# n& u4 H. S
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ( n5 u+ ?4 S- z* ~+ r+ b
运行screnc - l vbscript source.asp destination.asp 3 K( q9 _8 m* r0 A$ K+ G
生成包含密文ASP脚本的新文件destination.asp
" r7 f4 v/ b1 y( R 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
: T: s0 H X$ ^" }/ b+ U D 但无法加密中文。
( K5 r2 k& L/ U% l4.如何从IISLockdown中提取urlscan ) m- T: W7 e H) @& q
iislockd.exe /q /c /t:c:\urlscan . H2 N" x1 f; u3 `, P- }( K
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
- h5 }- y+ `: `/ s5 f 执行
% H" [5 k, Q8 c) v) S cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' B& [8 T* U0 E+ g; w: Z 最后需要重新启动iis 7 }+ ]; w8 B3 I! K" Q
6.如何解决HTTP500内部错误 4 g) w( s$ J6 g; G
iis http500内部错误大部分原因 ' `" o4 n) a- c9 g. H% e) \
主要是由于iwam账号的密码不同步造成的。 3 ^: @; _4 \, v! }# j, e. ]2 y
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
- w( P" I$ u& t5 { 执行 8 r' C8 x. `- H
cscript c:\inetpub\adminscripts\synciwam.vbs -v
/ o/ a& a! U, o& c% ?5 ]9 W7.如何增强iis防御SYN Flood的能力 3 {; e" `& o1 r; x+ ]" a( s
Windows Registry Editor Version 5.00
. V- r, w4 N2 J- S [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] : C+ H U! d$ d. X6 D3 _9 h. l
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 # W1 w! V4 R8 W, `0 r( _
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
1 |" W' N) p" h; G& ] "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# m: a9 _! H, b& u "TcpMaxHalfOpen"=dword:00000064
8 z* Z, k* n1 K: w8 K, |& u8 t3 x. I 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
( f; f7 f$ p. H$ s, I "TcpMaxHalfOpenRetried"=dword:00000050 , l, `# u4 S0 p- p1 ?' y
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 9 w- |- c# s. E
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 , c8 U6 q) L9 `1 L) e) n2 \+ k5 E
微软站点安全推荐为2。 & E( d: @! H0 b" l
"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 |# s% P5 \" j, l6 }" o* d" a 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
; y& B \. F( k) x "TcpMaxDataRetransmissions"=dword:00000003 % C. U. i& S% w( b( u2 }) a3 U
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 P( S( }8 J- g$ x6 e "TCPMaxPortsExhausted"=dword:00000005 % y# G' W4 A: b, f' c
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
2 k) e5 g$ g+ a1 U "DisableIPSourceRouting"=dword:0000002
, }/ w( y( v( Q# P. u# \ 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 9 d( W* z# ]3 C, U% N. g9 g+ ~
"TcpTimedWaitDelay"=dword:0000001e ! Z& T% Z9 L9 r+ ^) |) M) I) v0 N
8.如何避免*mdb文件被下载
3 Y6 ~( W6 l" D( x- @ 安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 r! \6 ^, U5 I9 ? 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
G2 ~# H3 @, y. n! C9.如何让iis的最小ntfs权限运行 4 y& P1 H' i1 a% c
依次做下面的工作: + E6 z, X* l# P) ]1 F' f2 o( ]) D# c
a.选取整个硬盘:
9 q9 @* L) n" r/ H8 W: y& [ system:完全控制 2 w( ?# X& n( ]" I- d
administrator:完全控制
* A/ U5 r. W9 ^. u3 H (允许将来自父系的可继承性权限传播给对象)
2 t# C1 t& Q8 e b.\program files\common files: * d/ m+ }9 e/ u5 U
everyone:读取及运行 7 U: o, s; o" r) a6 |
列出文件目录
8 p' \9 {* e5 U4 I% Q0 T( r. R 读取
) H- F8 T: u' M ^5 S (允许将来自父系的可继承性权限传播给对象)
! |1 q2 a% E: h c.\inetpub\wwwroot: ) x5 D( w( E9 {$ w5 D/ Q0 ~
iusr_machine:读取及运行
8 j V$ Y! i t E3 ^) J 列出文件目录
2 O! s0 j H' t& w1 } 读取
* {! w6 a/ w1 f+ N; a; A+ [ (允许将来自父系的可继承性权限传播给对象)
A: |' _- D+ x' v0 P; Y e.\winnt\system32:
4 f) F6 Q6 }& A: h' @8 d* { 选择除inetsrv和centsrv以外的所有目录, $ W* g7 O; t# z. I
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 f3 z. `" U1 G' }0 w4 w: b. I f.\winnt: ! Y. p( f, t5 k5 i5 O( \
选择除了downloaded program files、help、iis temporary compressed files、
. U4 U" l6 r$ B2 d- R8 X6 X/ h/ a0 M offline web pages、system32、tasks、temp、web以外的所有目录
+ a: r" i5 E6 r* {7 K; d& B 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ; I0 q" |. v7 _
g.\winnt: 7 S o0 W* n9 d9 ^% z9 z: [
everyone:读取及运行
/ }9 O( t% U! q 列出文件目录
3 p9 Z$ x/ _8 o& Q/ y' Z 读取
6 w9 }8 A- R& I, L$ @6 K4 x (允许将来自父系的可继承性权限传播给对象)
6 ?& o! Q0 j% N) g$ g h.\winnt\temp:(允许访问数据库并显示在asp页面上)
& [9 p+ X% u: n: P everyone:修改 . a' z3 F$ K( A1 b2 x7 k
(允许将来自父系的可继承性权限传播给对象) / V+ v6 i, t" h# g
10.如何隐藏iis版本
( |) V7 ~5 k$ c0 {0 d# j" b! G9 [ 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 8 R6 x+ x8 M! O/ e4 K* u8 x" V+ g
iis存放IIS BANNER的所对应的dll文件如下: . o8 M' y' t8 f5 f
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
9 S( X) ~/ v9 Q FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL " T. \$ B6 m- z( ]
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
, b$ X* U' L8 E3 s 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
- N* r8 S! N1 q8 T0 Z. T: D 具体过程如下:
$ z2 F8 W' j/ ]8 ~9 R% [2 n! u 1.停掉iis iisreset /stop " C2 ~: z8 Q: k ~8 k7 }7 J
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
+ J: B6 O: l5 | D! v 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
