|
一位高手整理的IIS FAQ w# i& S1 j$ O1 s4 B! Z
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
G" l' V( `9 Z, ^# x" c4 @1.如何让asp脚本以system权限运行 9 I+ }! M" q" F3 d* e1 Q- [9 w h+ ]
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! J" o* }5 n& ]/ Y3 u2.如何防止asp木马
& d& ]( {2 r0 p 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
. {2 s3 Y& W8 |& A7 M regsvr32 scrrun.dll /u /s //删除
. w) X. ]( E" ]1 r 基于shell.application组件的asp木马 # H0 \' v( k# @
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
5 y& `: d9 U S! g; b7 e regsvr32 shell32.dll /u /s //删除
3 X3 q- q) b, X$ K" d3.如何加密asp文件
) n# i2 a/ D+ d+ Y$ e( m; N 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 & B, m3 }7 @6 K
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
) @9 ]8 X4 Y: j K# D7 }; ? 运行screnc - l vbscript source.asp destination.asp
2 u- f1 j5 F3 [' E. I0 [ 生成包含密文ASP脚本的新文件destination.asp
$ \1 D! p8 c1 E7 b. J 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 & P4 V- z! I, h1 s O
但无法加密中文。
4 V l2 u' L8 w2 X8 S ?' ~5 V0 |4.如何从IISLockdown中提取urlscan
4 E% w0 X) o( U. O7 T1 Q! | iislockd.exe /q /c /t:c:\urlscan : A& i, x& F; M& z' j; b4 }( D2 c
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
2 Y) H9 f) ]4 b5 t 执行
7 {, g; n3 D# q" b& p cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True & q& n- K2 _% ^. `* {
最后需要重新启动iis
# M; N1 _! g2 @4 o6.如何解决HTTP500内部错误
3 @4 U, x1 J+ o n3 d1 t iis http500内部错误大部分原因
- Y- a5 U6 @, b# c& T* ^6 J 主要是由于iwam账号的密码不同步造成的。
7 d) F n. x- l. M8 b- q 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
) L2 s, F# ^! Z4 q4 `" L 执行
2 y T( T8 b% @ cscript c:\inetpub\adminscripts\synciwam.vbs -v
. F2 j% Z a/ v/ `7.如何增强iis防御SYN Flood的能力
0 |9 ^9 F" `+ f8 Z2 U* Q Windows Registry Editor Version 5.00
I9 X7 U: f, p! i: e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 8 e5 V& b/ C) D2 t* C! j# P
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
# m2 l. H# r7 _% ^5 I8 S7 r% a 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 , G3 {# r2 E+ p9 t3 K/ P
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
, a9 W- i+ o P "TcpMaxHalfOpen"=dword:00000064
6 }! [" w8 w( E 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ) H# x5 r6 `* D; C; p* c9 A8 e5 w, |
"TcpMaxHalfOpenRetried"=dword:00000050 5 L4 u% E0 \. V$ K) J. X4 Q6 k
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 , H6 F9 t8 Y2 ?4 {
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
- d* A) L" f' N$ v4 I 微软站点安全推荐为2。
8 b# h7 Q& ]3 T, E, X "TcpMaxConnectResponseRetransmissions"=dword:00000001
, P w2 z: O) ~, Q9 ~! j2 b 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 0 I* ]( _7 k9 s) B0 ?
"TcpMaxDataRetransmissions"=dword:00000003
0 R) u! k; X% C& d6 b 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
) f9 H8 u, h' n2 e* o( u "TCPMaxPortsExhausted"=dword:00000005
k3 G5 o5 k1 g# w& f 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
4 e6 a, T6 X* ~ w( } "DisableIPSourceRouting"=dword:0000002 ( E' |# S: D! B" A
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ; ?0 r9 l* }9 h
"TcpTimedWaitDelay"=dword:0000001e
$ C6 F9 l! p/ V8.如何避免*mdb文件被下载
% ~4 h5 h% p O$ B' c 安装ms发布的urlscan工具,可以从根本上解决这个问题。 ( E% B, @- l: a3 ~, \8 O
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 8 ~$ q% I# t6 l+ B/ G9 @
9.如何让iis的最小ntfs权限运行
# z. |/ r% h) }2 r ~( h+ v 依次做下面的工作: - i, N1 |# ?( T0 r% @
a.选取整个硬盘: 5 a% H: H. Z* A) q; c7 e
system:完全控制 7 {. x7 d4 N$ w7 n5 C8 A
administrator:完全控制
( B9 V+ N0 m" K9 G U/ @ (允许将来自父系的可继承性权限传播给对象)
6 z: C0 ]) E5 q2 G7 i9 ^3 g+ j b.\program files\common files:
) ]! ?% @- J& H: |: K2 F7 v( e everyone:读取及运行 , N" { u. X/ E8 M
列出文件目录 ! |7 A% W8 ^, X, K3 s" Q/ D0 X8 \# _
读取 + x V6 Q0 i" Y4 ~
(允许将来自父系的可继承性权限传播给对象) 7 }3 e, e$ i- l4 C" q9 l9 r
c.\inetpub\wwwroot: # d- y2 }3 Y6 G) X- f) s
iusr_machine:读取及运行 " W6 @- U0 O" @# N3 F* T
列出文件目录 2 `! k \$ Z/ _: a% u. g
读取 + O9 ~% W. p7 x0 A
(允许将来自父系的可继承性权限传播给对象) 8 g* I5 h( c( J( l' O- H
e.\winnt\system32: # ^7 Y( }; \ O0 p, P& j
选择除inetsrv和centsrv以外的所有目录,
. X7 |) s6 K0 K1 d$ j7 k 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 # A) w' \% x6 r& H! U) A; A
f.\winnt: % ]5 J% o$ e" i, }) V" i& ?3 E8 e
选择除了downloaded program files、help、iis temporary compressed files、
. |0 t, U' n3 I$ P offline web pages、system32、tasks、temp、web以外的所有目录
( D; B$ r3 }# p/ Y; T, X 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 4 X/ h, L a. N' w+ @
g.\winnt:
6 {6 j2 g8 K: V- | everyone:读取及运行
+ p- V' F# L/ d, C# k+ \ 列出文件目录 9 b9 }( E8 v+ P7 ?8 u( O2 F9 [
读取
& X& |% @( r6 g6 } (允许将来自父系的可继承性权限传播给对象) : k) Y- ]5 P' D O9 B7 q
h.\winnt\temp:(允许访问数据库并显示在asp页面上) % g5 O+ c' N8 w- v8 m
everyone:修改
8 i2 @/ B! w: _& J. i (允许将来自父系的可继承性权限传播给对象)
: s+ r h7 v' o8 o10.如何隐藏iis版本
+ z) m& {2 v0 D' l5 t" D: S( Z, | 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 8 b/ q) d$ s6 {2 H$ B; W
iis存放IIS BANNER的所对应的dll文件如下: , m) M5 C4 h. ^2 g3 Q
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
7 \4 t' p! b" o& Q% U ]: k FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
$ |# F( }8 g) P SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL / n9 P1 s$ Q! ?) L6 E$ T
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 + N# T3 h% c# W0 v' c5 F# X4 x# i% R
具体过程如下: : h+ R& {) o2 H
1.停掉iis iisreset /stop . {) ^% h+ t2 A5 }9 `
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 4 o! J: }4 ^8 l% p4 Z4 \1 @& Q3 y
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
