|
一位高手整理的IIS FAQ / X. q" z& }* r/ `
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! + z/ ~* t# C* L( X
1.如何让asp脚本以system权限运行 0 R+ r: |; z3 `+ I% B" E6 Q* D
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... h+ U% a# r$ B" y
2.如何防止asp木马 ) a& r* ?7 q W2 S# N' L7 T
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
2 @1 O- [& y/ f/ J# o# y regsvr32 scrrun.dll /u /s //删除 + ^5 g+ X5 Q, r2 ?0 \
基于shell.application组件的asp木马 3 H. v7 V2 S( s% o: I( V# J7 }' J% t% F
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
% p' W7 Z! U. C# Q' V6 b) j+ j( m regsvr32 shell32.dll /u /s //删除 . k }4 t7 h3 ^. X& F) t
3.如何加密asp文件 , Z9 ]# ~" r& h
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 + K: a+ K3 V" C# S/ Z, C2 E
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
* T4 w* i/ y, J, [; W' w 运行screnc - l vbscript source.asp destination.asp % r/ @) K9 s) X$ N: N: {
生成包含密文ASP脚本的新文件destination.asp
6 b4 A" V! @$ i3 o8 a 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( s4 R2 R# ~. i% \9 W( { 但无法加密中文。 & I- |: O3 e) T; z
4.如何从IISLockdown中提取urlscan # _& w2 N& I6 O- |+ a
iislockd.exe /q /c /t:c:\urlscan
# U( q! _6 V0 r; l9 a5.如何防止Content-Location标头暴露了web服务器的内部IP地址 : t3 b* r& g6 Z% M% M" U
执行 2 B5 p6 x. _; ]- q3 S0 Y
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True + p \7 X# F+ w/ o" D M. q; n
最后需要重新启动iis * ^! J1 ?8 w7 T
6.如何解决HTTP500内部错误
5 c! O- ]2 @9 O) m- N% W3 J! m iis http500内部错误大部分原因 : p* w: W: d4 A- E1 @) p
主要是由于iwam账号的密码不同步造成的。
: k( [7 p6 K" ?0 D8 n- S 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 ) q- C8 l0 D' s7 P
执行
4 y' j- r+ U+ d2 m1 {$ h. Z* W% R cscript c:\inetpub\adminscripts\synciwam.vbs -v
7 K# F! K* J8 b2 R6 g7 f! p* D4 g; ~7.如何增强iis防御SYN Flood的能力 $ { \5 b: P) j( J t1 G2 U
Windows Registry Editor Version 5.00 2 z+ {5 V: L* p0 Z$ W( Y" D6 ^, u
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
: y. f5 J5 P+ Z1 ~2 O 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 9 e& C# G0 f' E l
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 / K; g( n# s) _% p! X
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
6 W' U; j) f- Q* X/ R& R% h) T- B "TcpMaxHalfOpen"=dword:00000064 P. E q+ T6 Y! s
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 4 V& M/ o& |: g4 {( N
"TcpMaxHalfOpenRetried"=dword:00000050 0 z) a0 A0 X" j7 _9 p/ s O. L
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
0 S1 J1 w A, A' Q, p- K& U 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ! I( t* G( X1 c" W$ q& \
微软站点安全推荐为2。
& Y$ e% O% p4 ?1 T' _% J3 W/ T9 O "TcpMaxConnectResponseRetransmissions"=dword:00000001
0 R3 f! r, u, K* A& U 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
' H5 C5 t& f+ }2 R8 w- P6 G! x: x "TcpMaxDataRetransmissions"=dword:00000003
! G' K# h) I0 M# h 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
: o3 n$ Z1 Q# W "TCPMaxPortsExhausted"=dword:00000005
0 S. _' y6 X) q% \ 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 # z; S8 A; l* w6 b. q/ h; k- ]
"DisableIPSourceRouting"=dword:0000002
) Z L7 r1 ^, U6 V 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ; K( `! B/ v0 F Z4 ]& P% {6 G5 A
"TcpTimedWaitDelay"=dword:0000001e
; m, j9 X. f! x& j+ \8.如何避免*mdb文件被下载
7 P ~3 P/ i4 i8 }, ? 安装ms发布的urlscan工具,可以从根本上解决这个问题。 % b: B' N5 Q$ o: [( Q
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' w5 n5 T" c$ Q" ~4 w# L5 H- l9.如何让iis的最小ntfs权限运行
# W9 h( ]6 {8 [4 _ 依次做下面的工作: # V' `+ J% ~. b0 B8 P2 C% r
a.选取整个硬盘:
9 s% E8 {; u7 ?, t system:完全控制
9 U" R3 |' n: o; E, a6 `$ w administrator:完全控制
$ d0 D% E u8 b6 O" U (允许将来自父系的可继承性权限传播给对象)
' H& _! K: d8 [& e2 T$ ~0 m( ` b.\program files\common files:
* p+ F3 P9 p/ X x! {3 D; j( H everyone:读取及运行 0 R* R8 g9 b' _
列出文件目录 + B; I9 r" L$ c) n
读取 ; x5 {3 h8 d0 ~; w4 r$ ]9 T( ]% x' {8 `
(允许将来自父系的可继承性权限传播给对象)
/ T: ?8 T% f: b+ l6 k( \: N c.\inetpub\wwwroot:
$ n! j: k# S1 M5 l! G( Y+ N iusr_machine:读取及运行
0 Q) [4 F" N# }9 n% t; }6 d 列出文件目录
5 `- K7 q! i3 a1 d 读取 ' i7 }( n+ ~6 F5 B A
(允许将来自父系的可继承性权限传播给对象) 8 A1 S& y* I9 g+ R: U
e.\winnt\system32: 8 {5 |( C3 O( [0 X& S
选择除inetsrv和centsrv以外的所有目录, % t( C' N4 j! P1 p# R
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! S% N- w; R3 L. a" o3 l f.\winnt:
& b% d8 J& H* y/ j; G6 F 选择除了downloaded program files、help、iis temporary compressed files、 - W+ e# g7 v& T' }2 _
offline web pages、system32、tasks、temp、web以外的所有目录
( b5 P9 v% j2 {+ d, q! \ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, U. J2 p- k+ g+ |# }6 L g.\winnt: 7 Y% R# }, x: w# J9 r) s" T
everyone:读取及运行 - j8 Z+ n5 |; j* L# G. f# Z
列出文件目录
( y# B) i8 }2 J: B7 Q' }6 X 读取 1 a5 y3 }! ?" y5 T
(允许将来自父系的可继承性权限传播给对象)
1 \8 ^5 W/ ^0 l( j0 r' h. i' e) P. s h.\winnt\temp:(允许访问数据库并显示在asp页面上)
3 p1 G' C# \- G6 i# T everyone:修改
$ C% \, I+ z( {) @* c (允许将来自父系的可继承性权限传播给对象)
; ^; z9 `! r# u# _) v+ W" k10.如何隐藏iis版本
1 ?. x5 N6 \5 ^ 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ( X% O l0 M/ \9 y
iis存放IIS BANNER的所对应的dll文件如下:
- e- [% H! N* `8 Y( h8 y WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
+ S$ m1 Q# } x& n FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL , }) J+ H; F; T/ a6 w4 y' a# p" a
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 5 ~4 X( k; C' A+ x
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
) X0 P! O3 q: ~- i5 `9 h 具体过程如下: / m" h; v5 t& F7 \3 P4 H( V& M" ]$ o9 m
1.停掉iis iisreset /stop & S6 T: `; {8 J
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 " h$ g+ ^/ ~$ }0 T4 J* ]% K |
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
