|
一位高手整理的IIS FAQ , B/ U& e* d2 t; F1 s" x
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
7 V2 E7 \! S1 X. `6 y6 F$ t8 P1.如何让asp脚本以system权限运行
% H& v0 R/ U' H2 P 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 1 F* `- ^; U5 w1 x
2.如何防止asp木马 % `; g& H8 V0 a' O3 g
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
1 b: B0 w" D3 O: |, N4 h8 c$ J regsvr32 scrrun.dll /u /s //删除
# p9 R. v$ d0 L: M! \3 L( A9 w, ? 基于shell.application组件的asp木马
1 f9 }* J- C0 z1 S/ @9 b4 k cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, E- f4 ]# q% l i: z1 H2 P9 X% |& b regsvr32 shell32.dll /u /s //删除
; O" r: J5 V" z" |( @/ J8 x( c3.如何加密asp文件 3 N8 ]' O$ O+ {
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 % P: j5 P0 F. t1 Q1 _6 I
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
4 k$ X6 o1 P- R/ m% [- V 运行screnc - l vbscript source.asp destination.asp
7 L7 @; i1 V8 t0 ?& { 生成包含密文ASP脚本的新文件destination.asp
, A% {: N* d3 U5 B 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
7 W5 y, t! e/ M$ p) U y, b$ t 但无法加密中文。 " p2 J- ~; p g1 X/ { ~' M
4.如何从IISLockdown中提取urlscan 9 g. }! {* J7 |4 e" v
iislockd.exe /q /c /t:c:\urlscan 9 v2 F8 G/ H* A8 ~
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
& M, l$ R7 s& Z6 I7 S% i 执行
: V* W* J, U }8 t! i- a7 y cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 6 Q/ k6 s% }7 ~: @) e
最后需要重新启动iis [1 b, O2 i! H+ `8 Y; K
6.如何解决HTTP500内部错误
' c) T0 O9 Z' p7 y. V2 T iis http500内部错误大部分原因
/ J+ o) O7 m7 s! y2 F" n 主要是由于iwam账号的密码不同步造成的。 9 `9 |, W1 x, y) O" J# X
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 N0 r# O$ ~9 e 执行
" q1 k; B Z& v8 t0 T7 R- L cscript c:\inetpub\adminscripts\synciwam.vbs -v " x" s. s# @9 e% @' a
7.如何增强iis防御SYN Flood的能力
9 i- P7 q2 a$ x& J: Y$ v* X Windows Registry Editor Version 5.00
. [+ L) ?; Q4 c, o/ Q7 ~ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
' j, B+ i9 m4 ^" ?" z$ P 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 7 B- _+ [( x/ H
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 , s: x# q, l) n2 t
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 # Q {) [9 X9 J% y: C9 P7 }
"TcpMaxHalfOpen"=dword:00000064
5 L6 m% L: t2 B. ~/ Q4 \ 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
7 T) n4 T) t" |" j- c "TcpMaxHalfOpenRetried"=dword:00000050 5 W) Q( P6 o' h
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 1 `8 a5 |5 {; J+ U1 v+ ?
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 / A% ?5 I, [: L! X9 [, g
微软站点安全推荐为2。
/ {+ e4 I* W2 _5 c* S "TcpMaxConnectResponseRetransmissions"=dword:00000001
1 d; e( ]4 p) b2 _ 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- v) ?. H. J$ t5 M1 c5 b7 R9 [ "TcpMaxDataRetransmissions"=dword:00000003 5 [9 H1 \6 S* i- Y
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
( h; Q7 c7 H+ f8 q "TCPMaxPortsExhausted"=dword:00000005 * S' Y4 `4 q) U; e
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 * B, W! G5 z& J3 R2 p
"DisableIPSourceRouting"=dword:0000002
3 X7 a P/ g8 S% I+ u$ K 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 9 S! o, O% o# V) N* H& C
"TcpTimedWaitDelay"=dword:0000001e
! X) t& f# \0 }) N) M- A8 {1 u r8.如何避免*mdb文件被下载
9 y. |; p7 M- P4 U% T 安装ms发布的urlscan工具,可以从根本上解决这个问题。 ) @/ E% ?0 k! n% E" u
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% X6 a4 E+ h+ ~9 g, \. M# U9.如何让iis的最小ntfs权限运行
6 S# F. B U3 J' ^: C7 ~ 依次做下面的工作: / Y$ u) r1 J L1 B7 f: w$ X
a.选取整个硬盘: % C( Q0 X3 k" T" {, u4 T
system:完全控制 ! [3 l/ \4 a* E7 x6 {% o, @
administrator:完全控制 8 s- r( c \$ s0 m' i& n t: @
(允许将来自父系的可继承性权限传播给对象) 1 V4 O: W A6 @3 P
b.\program files\common files:
# f% v! }. v0 q8 h' X1 q) J" x everyone:读取及运行
0 s! e; v' q+ c. Y 列出文件目录
0 j6 V1 L7 R! h, V 读取
2 c* L5 e1 d9 }& k, K; `, P7 A (允许将来自父系的可继承性权限传播给对象) * s2 h; O% c$ H) L& m {1 i3 H
c.\inetpub\wwwroot:
. F, x0 V ^0 N. ~ iusr_machine:读取及运行 # K* u" X; L1 i% k% }- T7 m
列出文件目录
: m8 v4 H; [: R* F0 u 读取
! F, g# q* A7 j+ i0 `6 L (允许将来自父系的可继承性权限传播给对象) - [& _* P4 G& }4 J( P6 m
e.\winnt\system32: . n8 h$ a9 c* L$ H* Q
选择除inetsrv和centsrv以外的所有目录, 0 k& b M/ F. G: L. F( R9 Z
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * d+ V9 V( a0 A @: Y' O( {) s
f.\winnt: + ]+ {! ~" p6 U" q
选择除了downloaded program files、help、iis temporary compressed files、
+ M# L- q, A5 I6 q/ D, _ offline web pages、system32、tasks、temp、web以外的所有目录 5 B t- b/ M# _# @1 ~7 Y) K
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 " B! ~& j& [; K A `& Q+ V
g.\winnt: / \0 F* v$ n) w/ Z" ~% D3 K3 o% U
everyone:读取及运行 $ K$ S# E* L+ E2 p
列出文件目录 1 q! L4 b4 K; @0 [
读取 ( p$ ~; H0 K/ J0 @6 {
(允许将来自父系的可继承性权限传播给对象)
! W& b/ G8 v6 ? h.\winnt\temp:(允许访问数据库并显示在asp页面上)
2 G& n! B3 O: \ everyone:修改
5 V5 ?6 N/ i$ z3 W, i4 x9 C+ b (允许将来自父系的可继承性权限传播给对象) % }+ G, i- g" d5 O9 I
10.如何隐藏iis版本
0 u# S4 m/ ~5 @' `6 o, ~ 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 ^# W$ [# `: t& [" ~6 b iis存放IIS BANNER的所对应的dll文件如下: ; @ `( N6 |# G% X! P$ u6 ?/ k
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
6 d7 e! _+ I, O2 {$ R% O+ @ FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ! B0 ^; c. q( s4 u/ _
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
) `" y' [. C" p( u! K' E 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
: A& K- s }5 g* B! j 具体过程如下: 7 N" X3 Q7 \) z% s
1.停掉iis iisreset /stop
+ b6 O7 G+ @. L& B) G/ r 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 # ?: e" K7 K9 h; D7 j
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
