|
一位高手整理的IIS FAQ
$ U. m z$ q Q3 m* R8 o4 j下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! X5 c% X) Z7 g% e5 l. o. r
1.如何让asp脚本以system权限运行
) Y b8 f V. e1 t3 K8 {' f9 A4 _3 v 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
7 c& D Z0 B9 w" s2.如何防止asp木马
& J6 E2 ]3 `% ?$ B& R: i 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
; ]2 r5 ? ^0 b3 Y regsvr32 scrrun.dll /u /s //删除
5 Q- w2 x {: `7 D& A( |2 @ \ 基于shell.application组件的asp木马
+ {$ d* X) e' w0 B cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 3 j: W8 b! j& J4 J3 h$ d' ]1 Y
regsvr32 shell32.dll /u /s //删除 q/ e7 b( d9 p/ @0 `
3.如何加密asp文件
. ^) Y3 D- H- }# o9 f6 n 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ( ]( m4 W& G4 s7 z! z# v
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ' X" C# b @1 Q& s. b
运行screnc - l vbscript source.asp destination.asp
, M; |" v+ w; { 生成包含密文ASP脚本的新文件destination.asp ) \6 ~2 M% ^! P# I( _2 G
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
0 A1 ]" p0 V; c3 I8 K 但无法加密中文。
! V& d5 D8 G5 ^; n! s$ |/ p4.如何从IISLockdown中提取urlscan 9 N- J4 f! _- W# G. U
iislockd.exe /q /c /t:c:\urlscan
2 ]5 z3 g# |# U5.如何防止Content-Location标头暴露了web服务器的内部IP地址
( C) x3 v# P" @# { 执行 1 D+ G7 R7 Q/ K
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True y& b1 X5 A! z2 N! f6 N- R. H0 p# {: p
最后需要重新启动iis
5 ]/ w$ L( l( S' B7 q6.如何解决HTTP500内部错误
% G5 W- x% q- E; A iis http500内部错误大部分原因
2 X7 e! l' W' f4 R5 `8 z4 O$ v" T 主要是由于iwam账号的密码不同步造成的。
: g% _% n2 D; Z# c: P' m, k 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 2 Q/ t5 x8 v2 s" t* Y
执行
$ I5 z( p. v: ^/ s cscript c:\inetpub\adminscripts\synciwam.vbs -v
: M& }/ \' ^# B1 ~7.如何增强iis防御SYN Flood的能力
0 K/ {' T7 | e Windows Registry Editor Version 5.00
* F, b$ G. [% E9 u [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 5 E4 Y! o, Z7 v3 W* a, g
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
5 V1 A/ {- }) X5 Q+ U9 x: u, ] l! Z 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 $ g, x$ J3 ~ [' }
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( z! B7 B- d0 W v* g# k "TcpMaxHalfOpen"=dword:00000064 + B& o! Q' D. o8 l" p) M
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 8 [0 ~" K. n9 l W) Y- s
"TcpMaxHalfOpenRetried"=dword:00000050
- u# V% r2 x4 W8 n# h2 u 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 , a! ]# Q4 }1 V# E& \2 P
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
- s1 n: |; z: D3 z- | 微软站点安全推荐为2。
# Y0 P }- g5 \* W+ c "TcpMaxConnectResponseRetransmissions"=dword:00000001
- R& d8 Z8 ~7 {7 Z2 g 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
+ ^; ^2 a7 P( E3 ` "TcpMaxDataRetransmissions"=dword:00000003
- K5 X f- Y2 v& s7 p# H& C 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
+ X7 Q" Z. ?, ~3 L4 [# W3 S5 l6 [ "TCPMaxPortsExhausted"=dword:00000005 1 s' _; h# |2 N U3 r" z; }2 L6 @
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ! Q! e1 K: @& T K
"DisableIPSourceRouting"=dword:0000002
d; k/ Z) z7 c6 a6 l9 S 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 4 e) O- L4 R5 c* i/ x- i
"TcpTimedWaitDelay"=dword:0000001e
/ v4 K: R1 O. r0 k8.如何避免*mdb文件被下载 + \4 [. M6 t0 Y) H! Y+ c
安装ms发布的urlscan工具,可以从根本上解决这个问题。 & J( ?4 m. q$ U, m& T- V
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
2 B3 q. m/ _8 A5 w" D7 c9.如何让iis的最小ntfs权限运行
& w5 I e& \& N! A( v" c- }" A 依次做下面的工作:
* C" n3 ]+ O% E- k' ^; D a.选取整个硬盘: $ [/ t* _, q5 E
system:完全控制
9 o5 ~5 R) h2 O9 ^0 a9 v administrator:完全控制 2 X, t& ~: ]% f
(允许将来自父系的可继承性权限传播给对象)
" D8 I6 m0 ]! o, f7 G. N- S+ Q b.\program files\common files: ( L" Q; O: n# V% |2 c
everyone:读取及运行
0 ?! ?: j+ u% {4 Y: J 列出文件目录 # M' s3 \* [! k8 c- C0 w& R& y
读取 1 e6 l, d* d) h+ d6 G. ]
(允许将来自父系的可继承性权限传播给对象)
6 l+ M! T; D& a- Z c.\inetpub\wwwroot: 4 X! T: E$ V8 a0 Z8 C& a! G
iusr_machine:读取及运行 / u) r, V: x4 w1 S
列出文件目录
$ \2 r. z9 P) C9 n4 V, q0 s 读取 ( P1 f( h3 R/ y9 n
(允许将来自父系的可继承性权限传播给对象)
w3 d3 q- z* l3 d e.\winnt\system32: 6 r' H9 _! l* o9 T
选择除inetsrv和centsrv以外的所有目录, * m) ^' K$ M, d, A% f$ r- j
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 : `6 B" h" N2 V4 U" f
f.\winnt: 0 X, l t- X' I7 e
选择除了downloaded program files、help、iis temporary compressed files、
) s5 _* E1 { M2 ~+ p5 R) l offline web pages、system32、tasks、temp、web以外的所有目录 6 `+ r) d6 C6 `
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ) g1 v3 ~3 L9 q" [
g.\winnt:
. u, U+ E+ ~, @4 [- r0 N% F everyone:读取及运行 / J: L+ P1 G! [+ j( J& I1 t" c/ F
列出文件目录
( X5 i8 |7 A' K1 u 读取
2 B* g# @) c8 ^% F7 ^ (允许将来自父系的可继承性权限传播给对象)
+ {. ^2 A1 [) S% l' S6 e: Z" q# W h.\winnt\temp:(允许访问数据库并显示在asp页面上)
. `' g U" y9 f9 \! @9 W everyone:修改 & j) y+ B) e D2 I K: x, ^1 x6 g
(允许将来自父系的可继承性权限传播给对象) 4 Y9 V% ~0 W# t. m9 @* S+ z
10.如何隐藏iis版本 ; R" k, h: d: k: v/ S
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
* L* y0 m# p3 @2 Q iis存放IIS BANNER的所对应的dll文件如下: . }4 o1 [; ]* V$ ?6 e1 h) Z! Z
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
2 E% K. Y1 s2 i FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL % O3 o0 s5 Y* _" r6 @- {# a
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
; X% Q7 n# G' B' o 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
+ U2 l, E+ U3 `6 Y# ^ 具体过程如下: + a. }3 f* C- p9 N
1.停掉iis iisreset /stop 5 ^; B8 a8 F) w6 Q; T
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 % X2 _5 B* O# I* I# k
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
