|
一位高手整理的IIS FAQ / R3 a( g5 B W4 [2 ~! d6 L. g
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 6 E* {% h; q- I4 b+ A
1.如何让asp脚本以system权限运行
. s" q7 U0 G; k8 j' M( J5 }: ~" m Q 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... $ t. `& q! k# o) V4 k
2.如何防止asp木马
7 l1 `: _" f' o7 q0 [. [ 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
( f2 a3 s( l5 v. _" {& @7 H) ^8 C regsvr32 scrrun.dll /u /s //删除
l' L3 U+ l- W: z 基于shell.application组件的asp木马 ! C/ w4 V' q7 ]' z, ~
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 _6 \. @3 J1 _; d
regsvr32 shell32.dll /u /s //删除 - p% t) @9 [0 t9 f% `# u0 C
3.如何加密asp文件 # Q+ c i) ], c% U
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 2 `) h$ ~. }7 A1 n
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
7 P4 w5 h8 `' `. s3 }% E 运行screnc - l vbscript source.asp destination.asp
* J# x; {8 O" t {% o* k' P4 @ 生成包含密文ASP脚本的新文件destination.asp * r) f- ~6 y5 C+ `% z5 ^
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 2 E# J% e& q2 |2 w: A0 ^# n
但无法加密中文。
( ~. Z) d( b% v3 i0 H5 W- b3 L4.如何从IISLockdown中提取urlscan
4 S6 h* x3 t8 k& t+ @+ S* C iislockd.exe /q /c /t:c:\urlscan 9 k N f0 _4 T7 M- Z
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 3 A" {2 u' m e% Y! d+ n3 r
执行 8 K" F) y7 C, u! y
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 7 O% k5 j5 U5 v& u! M( |5 r
最后需要重新启动iis
3 f, I: R5 q3 N4 ~7 B6.如何解决HTTP500内部错误 % w J) K8 I1 A
iis http500内部错误大部分原因
. E" |7 p9 W, p% }1 O H7 ~" d 主要是由于iwam账号的密码不同步造成的。
; c( d- R( z2 n9 Y: Z1 L 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 3 O$ `( x. l4 A# D
执行
# G1 P6 t( f' r cscript c:\inetpub\adminscripts\synciwam.vbs -v
* {6 V* N6 V3 K7 p- Y7.如何增强iis防御SYN Flood的能力 ( X K, s+ p$ O' `
Windows Registry Editor Version 5.00 s6 E6 _% Y4 z% Y }' {9 F
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
6 T. b& ^2 b' l5 w; k4 G9 b 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
. `" \% G+ \. U9 I 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 * E2 a: U1 o) j8 k2 x d
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
* U& _" k+ T- I0 C5 R "TcpMaxHalfOpen"=dword:00000064
2 Y# m, q) r2 h) a5 e) } 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 1 [0 |0 G+ Y' e
"TcpMaxHalfOpenRetried"=dword:00000050 + m1 y( e' K5 ]% J2 V/ |& {9 N
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 : h# w$ d ~6 C
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
: N4 _. f# {' r% ^" T4 S/ T5 e 微软站点安全推荐为2。 - J% K+ r$ P2 S
"TcpMaxConnectResponseRetransmissions"=dword:00000001 $ {' ~5 Z/ W: ?$ A* T) N* w
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 % P( B" h$ L3 l6 e y" [! F- R
"TcpMaxDataRetransmissions"=dword:00000003 7 K" G% @: F7 o/ @& b7 S+ A# f. _3 Y
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
3 R8 r% c; n3 X "TCPMaxPortsExhausted"=dword:00000005 |( W3 y, a# G* X& ]
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
( e( j, c8 _# F/ q/ y1 j "DisableIPSourceRouting"=dword:0000002 5 Z# h B8 R8 j; e; S' J; V" ~
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
% d# D3 R; X8 @4 [ C) u "TcpTimedWaitDelay"=dword:0000001e ( ^8 c2 ~3 R5 ~) s
8.如何避免*mdb文件被下载 * n. L/ }' ?& q0 A
安装ms发布的urlscan工具,可以从根本上解决这个问题。 ' n) i. W9 p( J8 r8 v8 g: k& s- \9 z) G
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( y; a+ w0 F2 d# u. F1 @9.如何让iis的最小ntfs权限运行 ( [0 M; o1 m, B) a5 D# _1 V0 S* Q
依次做下面的工作: 1 ^7 _3 w1 ~! P$ ]
a.选取整个硬盘:
6 X- ]+ c* A5 Q5 ~ system:完全控制 ! x9 i0 ~9 o/ V
administrator:完全控制 3 O! @/ c# e( G- }6 d6 F
(允许将来自父系的可继承性权限传播给对象)
5 r9 B: C2 U5 E4 k3 M2 U b.\program files\common files:
G) M1 ?% B) [1 k+ B: j everyone:读取及运行
0 z) {2 \' r! _7 u0 S7 @ 列出文件目录
5 M4 ?3 [& a0 A" D4 ^ k/ R 读取 ! ]- {/ k4 `; I2 I0 s2 h3 @
(允许将来自父系的可继承性权限传播给对象)
. g+ A. O% v1 x* _" }1 a& Q c.\inetpub\wwwroot: + e$ R8 k" v6 R
iusr_machine:读取及运行
& n6 D0 }* ]% @+ X6 L1 W) F 列出文件目录 ) ^2 c0 f, G3 x E( n% A/ d" x
读取 , f1 ~' C6 `4 p6 \6 N
(允许将来自父系的可继承性权限传播给对象)
# N. a. x1 s7 I# ~: ] e.\winnt\system32: 0 `# k. L0 A) X3 q
选择除inetsrv和centsrv以外的所有目录, ; ]( ?# T; }3 J6 j- a, w
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ \& z* n1 ]+ m4 r: J) @8 z1 ` f.\winnt:
$ {2 g* |5 `+ N7 R" ^ 选择除了downloaded program files、help、iis temporary compressed files、 ) Q1 `. a9 z! i3 B& ~2 w* |
offline web pages、system32、tasks、temp、web以外的所有目录 $ _" q( e, G5 x3 V- N% x
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ) o6 }/ I; N8 P9 W& ~4 ^
g.\winnt:
0 \! Z4 A- D, E3 F4 F0 M* k everyone:读取及运行
: m' J9 e. s7 F' I w. d 列出文件目录
& {! w( p- H! }: L) l 读取 $ g* L* N$ [; k: Q
(允许将来自父系的可继承性权限传播给对象) 3 D/ y6 p! {* D4 c9 Y
h.\winnt\temp:(允许访问数据库并显示在asp页面上) . [: j, R8 I1 W/ b4 Q
everyone:修改
+ w) G. p: C- M! r# _' r (允许将来自父系的可继承性权限传播给对象) ) p# x8 G$ t, \# S, q9 M% C
10.如何隐藏iis版本 4 o/ o: J/ R: H# P- y! A
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 T" S% c8 I! { iis存放IIS BANNER的所对应的dll文件如下:
* B+ F% ^. `8 Z5 ?. N6 r) G c WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
+ \% C" U9 ~. z7 o. H FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
) P% x( K" S0 j/ u6 O SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL ' ]. L/ h4 e& B( T/ @
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 3 E* U5 D% m4 u- O
具体过程如下:
+ I& _% p3 G8 p8 T/ A/ g 1.停掉iis iisreset /stop 5 x; u. s$ L0 F$ i0 Q
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 8 l' A7 z5 u% e( P( C# ?# O
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
