|
一位高手整理的IIS FAQ ) ?& s- }8 d D$ c+ |
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! * H B v- M2 p. k6 \
1.如何让asp脚本以system权限运行 6 k N) w7 `7 ?2 X2 }( V* f
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ) D3 h! \ l) ^6 x" d! Z- ]3 R# D7 h$ u
2.如何防止asp木马 1 w. ^+ `: Y- h2 _; E
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
) `5 L) _5 X: S1 \5 m% ?/ s( n0 n regsvr32 scrrun.dll /u /s //删除
) |+ M. ]) n- T; w: @. m 基于shell.application组件的asp木马 ; E* y4 F) l* i
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 . A4 f* E) r/ h% {8 e c
regsvr32 shell32.dll /u /s //删除
( S8 M1 [; f+ m! P3.如何加密asp文件
# X1 |. Y5 I4 `" `% g 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
]1 ]/ K$ c% I N6 h7 w9 q! M 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ G4 V1 W# [. g7 ~9 H 运行screnc - l vbscript source.asp destination.asp " h0 k1 O$ R* q/ H9 f) ]
生成包含密文ASP脚本的新文件destination.asp - z s1 h7 a# d& P" P
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 ( I/ s7 M3 O, E% q( X) C
但无法加密中文。
& y# O% o- }: A7 W' Y5 M0 e" Y' ?, V2 [4.如何从IISLockdown中提取urlscan
]0 W! n, k) q, D3 G; L iislockd.exe /q /c /t:c:\urlscan ! O* Q$ G; A' q v
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
: Y* s& g# Z- l [ 执行
1 g% U" f" W+ U5 D: }$ g cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
P i- M( |( J) f7 z+ n- }" l 最后需要重新启动iis + ^; M) B, j3 R2 U7 q
6.如何解决HTTP500内部错误
6 s! r$ J3 o: Z! d iis http500内部错误大部分原因
7 D1 p# ~* K& b* C6 G: J 主要是由于iwam账号的密码不同步造成的。 8 B( `! ?* W0 F3 Y* y! j1 F
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 : z6 b8 i4 Y5 c' o0 y
执行
3 w4 S6 _- n+ D- R7 E cscript c:\inetpub\adminscripts\synciwam.vbs -v
/ W# U$ R' B4 J8 w3 J8 h0 }/ d' [7.如何增强iis防御SYN Flood的能力
! }# t* \- c8 u9 D! l Windows Registry Editor Version 5.00 / M% K, V& j5 Q+ \9 h
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 4 i8 X% q# a+ t( Q% X! ]* [6 Z- _* t' e
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 2 {: H1 d$ x; D
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 7 I9 ?; W, t T& L- o( j5 x
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ; q. q" O: k1 V/ r
"TcpMaxHalfOpen"=dword:00000064 7 T4 ]" a: ]) ^$ d* M4 Z, P" f
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
- l' Z6 E9 [- a! q# h2 H7 Y5 J: |+ x3 X "TcpMaxHalfOpenRetried"=dword:00000050
* E* Q n' j, r1 O. {( H 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 " ]& k" s6 ?- G
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
# w7 ^8 Y, `7 J5 m 微软站点安全推荐为2。
( F" U! w0 A0 e! \5 `4 _ "TcpMaxConnectResponseRetransmissions"=dword:00000001
& M, B5 Y+ i7 E4 e+ s' x 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 * m/ z6 k9 ~8 Q( E" o7 e7 f
"TcpMaxDataRetransmissions"=dword:00000003
+ T- B2 z1 d0 B% X6 F 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
% Y" Q* [1 c' d G! m- h2 i: ?/ s "TCPMaxPortsExhausted"=dword:00000005 4 u* H( a6 l) e, o x
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ( O2 x+ i9 X+ g1 a, p9 m" A; ~
"DisableIPSourceRouting"=dword:0000002 , N. k4 \' p$ c- F* `9 }9 K; l: B
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 % O* P7 Q. j9 n; ~7 G/ e, ?9 N
"TcpTimedWaitDelay"=dword:0000001e
1 P9 y9 L! |5 F% n4 V, J! y8.如何避免*mdb文件被下载
. v; c6 q2 R) Z0 o1 ~+ [) k 安装ms发布的urlscan工具,可以从根本上解决这个问题。
) N4 O; s5 `) J 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( Q6 k; h' x2 j9 T" [: r9.如何让iis的最小ntfs权限运行 # J' g4 N6 I) @* S
依次做下面的工作:
( T0 h0 B, h! G" w8 l! b7 o7 } a.选取整个硬盘:
- k4 I" x5 p/ t/ ? system:完全控制 % y. O$ `$ ?6 }$ Q L5 h
administrator:完全控制
- C2 m# @/ z/ q' u3 @: \ (允许将来自父系的可继承性权限传播给对象) 4 \) P) A# E- _4 N( ^0 B( y8 E
b.\program files\common files: ; W( u; G! G* U6 r9 J1 v
everyone:读取及运行
" ~5 U+ e7 r& `( F; I5 I( U+ i# W0 W 列出文件目录
" h q# v4 ^% r: I 读取
0 Q2 \) Y) L& _ (允许将来自父系的可继承性权限传播给对象)
6 Y. Z6 _# \% i; D2 i3 [# h* Y0 G c.\inetpub\wwwroot: ) M2 h" G5 s6 A! `$ O
iusr_machine:读取及运行 . Z6 H. U8 [. ?" T: m
列出文件目录
, @2 l- F! u( U4 X! {4 s4 O 读取
) ~- U v2 \# m (允许将来自父系的可继承性权限传播给对象) 9 K" s1 d8 p/ l" V1 s2 R
e.\winnt\system32: , \: j8 j, z! \5 |* n/ h
选择除inetsrv和centsrv以外的所有目录,
* h7 _- k) V9 C V+ }" G# ` 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 # ]: |0 N) n4 X; ?/ E
f.\winnt: . J8 O) B) f* i0 A# Y$ L* u2 k
选择除了downloaded program files、help、iis temporary compressed files、 & L5 A& ~- j3 i. y5 R8 J
offline web pages、system32、tasks、temp、web以外的所有目录 9 D! i g1 ?1 C' s1 l$ ?
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" H) }7 t$ j; O/ w# f( z g.\winnt: 7 Z% _9 @! i7 N/ ?5 J3 I
everyone:读取及运行 / m S; @+ o) s; A8 u, D
列出文件目录 - P( _# T4 n( g2 m2 D i/ U
读取 6 D. m8 ?- I6 t, Z9 `/ w4 o1 {
(允许将来自父系的可继承性权限传播给对象)
$ G; N) b% m8 @& [) ?' Y h.\winnt\temp:(允许访问数据库并显示在asp页面上)
9 Y( N0 Z4 ?/ Y everyone:修改 ( ^# f: r0 d I: E0 }
(允许将来自父系的可继承性权限传播给对象)
" Q% m; @; V. h# K10.如何隐藏iis版本
u1 k5 [% o) T9 J; Y# A 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
' c1 r! v0 Y" r8 S iis存放IIS BANNER的所对应的dll文件如下: , a1 h5 t2 u/ A& |0 {; N
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
% W# c0 L6 o8 G- _6 {9 s5 j FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL - e9 U$ B% u1 {& I+ U; I- f) B7 r
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL . `. {" F# |$ \4 P1 A+ W: s, h
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
' |* Y, y9 {% \8 X) h 具体过程如下: 2 P$ y$ t/ I+ J: Z, w
1.停掉iis iisreset /stop 8 ^8 G( c3 q) o; v4 q0 I+ ~) @
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 - M1 q& C4 x$ @1 F" A
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
