|
一位高手整理的IIS FAQ
6 q% H! a/ u$ I8 Q8 K0 E6 b下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
: [0 Q/ l% X5 G9 C- Z: }/ y1.如何让asp脚本以system权限运行 ) h( h* t7 _+ [5 {, ~" n. V3 F
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
6 ~% v1 H# L1 Z) i$ z2.如何防止asp木马
( T9 X( W6 h; G1 k2 G1 \ 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 ) _8 C/ [$ M7 M4 M( U0 @
regsvr32 scrrun.dll /u /s //删除
* q* }% A0 L! S/ X+ ]- T 基于shell.application组件的asp木马 , ?5 @1 J1 m: ~6 C4 J' q1 g/ m3 ?
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 ! y& r& b2 p( V# Z: E( [
regsvr32 shell32.dll /u /s //删除 8 s9 ]* O" s! h% b
3.如何加密asp文件
2 Q( m$ S8 \8 M5 Z' @* S' Q 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ) W( p; k, [7 z
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 , N( t' ?! L: e/ C/ u
运行screnc - l vbscript source.asp destination.asp
' f: M9 p- D e T4 C* s 生成包含密文ASP脚本的新文件destination.asp
1 f) q$ e& k8 }9 ^; B/ o 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 4 J, Y9 e5 w: n& |& S0 K
但无法加密中文。 ' {) N$ |* J1 i6 p4 I
4.如何从IISLockdown中提取urlscan + a% G. p7 _0 b/ Y" e
iislockd.exe /q /c /t:c:\urlscan
* x3 `. a8 l4 }. p1 [5.如何防止Content-Location标头暴露了web服务器的内部IP地址
* G/ O0 }4 j8 ]) w8 @+ H; }0 P 执行
" }& m1 y' l3 O, g2 f7 _- r cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
9 z: s: i: P6 ~! k7 t 最后需要重新启动iis
6 |3 d/ u( }' e: S" ?& o1 w6.如何解决HTTP500内部错误
+ g# Y( g) e6 B iis http500内部错误大部分原因
0 |- R" E2 C" o3 M0 x 主要是由于iwam账号的密码不同步造成的。 ' r, k I3 \: k2 h
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
$ B) `$ V2 U' a 执行
; v. n: a9 A2 @! [; v- h& b cscript c:\inetpub\adminscripts\synciwam.vbs -v 8 Q# U. w+ h: w; f: V* z8 A; T
7.如何增强iis防御SYN Flood的能力 4 _1 i8 n6 p% z/ C& M4 ?
Windows Registry Editor Version 5.00
. j R2 g t, V% ` [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] ( }/ f+ ~0 P S w
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 3 e" W/ v+ T$ H3 U
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
3 f7 L0 N. F6 l. ]0 g( I6 { "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 : ?1 D0 l& H j2 j8 h+ w4 @" S
"TcpMaxHalfOpen"=dword:00000064 # E1 ^8 w! I* L% W, n8 d# l
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
( p) H' W X @' J) j "TcpMaxHalfOpenRetried"=dword:00000050
2 D; C; L9 U+ j 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
9 B& L5 f# y) `3 S0 R& p 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
) D# R8 [: f4 c8 i0 M. q 微软站点安全推荐为2。 ! R) `* l4 _; [: Y0 J
"TcpMaxConnectResponseRetransmissions"=dword:00000001 ! k( s# _& R# z0 j
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
4 |* k a6 W! U4 z1 _ "TcpMaxDataRetransmissions"=dword:00000003 / ]- z l' z3 L. ?4 z, O7 T' E/ w
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 . t/ C7 Q V* q! r3 Z: j
"TCPMaxPortsExhausted"=dword:00000005
9 m+ h( p4 Q0 V; V 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
0 z n* C% k3 b w2 o8 h "DisableIPSourceRouting"=dword:0000002
( W( D0 _9 D( Q" `% W 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' A, u5 {( m' I' c0 v% W% a "TcpTimedWaitDelay"=dword:0000001e
! l* U8 E4 ~( y; [- J# y6 \3 {8.如何避免*mdb文件被下载
. ?% ?, p+ I+ c( K; U w 安装ms发布的urlscan工具,可以从根本上解决这个问题。
* n( P2 Y8 G( \* ]$ i1 i) p" W 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 , v: J- _& m, R, y8 n
9.如何让iis的最小ntfs权限运行
1 ^5 n: Z8 I) W9 y# u$ M2 l- n 依次做下面的工作:
9 L+ _% [5 o2 x8 i4 i. N a.选取整个硬盘: 0 R& v" I# x3 T! p {4 Y
system:完全控制 7 J9 h! q/ J5 R+ o/ b3 t! W
administrator:完全控制
$ t* k. g0 U8 j( n0 S$ a- x& k( [ (允许将来自父系的可继承性权限传播给对象) ( |, @) R. U7 L# R+ g2 I5 K
b.\program files\common files: 3 e/ c5 F# ^1 `- B. e! G
everyone:读取及运行
4 g7 Z+ ?' U8 `0 X0 ]$ r 列出文件目录
! c/ @0 y' U* a* T 读取 2 ? M$ `- ?3 r
(允许将来自父系的可继承性权限传播给对象) 2 Y* v" Z! y( @% p3 s2 k! x$ I
c.\inetpub\wwwroot: ( j- v; |0 t% G6 b2 {- ]
iusr_machine:读取及运行
/ U ~% d, v. T, p% l 列出文件目录
A1 }0 A) M; X/ z3 c 读取 3 Y/ t. b, `8 [/ S5 p8 r2 A4 B
(允许将来自父系的可继承性权限传播给对象)
/ Z" ^3 x, \/ C f& O' e) v9 H e.\winnt\system32:
. H O0 h* N7 m2 _ 选择除inetsrv和centsrv以外的所有目录, # B2 C/ H8 O+ \( k
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ A* j* x4 c8 P8 ]' A+ Q; F# j# A f.\winnt:
3 z/ X: o* D" Z. t6 A 选择除了downloaded program files、help、iis temporary compressed files、 " I3 l) y+ g s9 u8 t6 h% h6 E
offline web pages、system32、tasks、temp、web以外的所有目录 $ A& d7 K1 J; m& \8 c; j3 w
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' C" \, H1 E7 q) h6 g8 M ^/ V g.\winnt:
g2 s+ s# g/ G* R3 ~1 h3 G everyone:读取及运行
7 k: C" u* v% J- Y/ K 列出文件目录
8 p7 z+ @# e7 f# s8 u0 S 读取 6 C2 ~ \+ Y0 V) g
(允许将来自父系的可继承性权限传播给对象)
1 t. g1 ^9 B- g& }) H h.\winnt\temp:(允许访问数据库并显示在asp页面上) : I0 P2 X ^- ^ o
everyone:修改
+ ~" y" s! j, T/ f7 G (允许将来自父系的可继承性权限传播给对象)
$ M Z: E/ B! e& v' C2 ]- X7 I10.如何隐藏iis版本
! Z: j0 j% l/ h# d' ` 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ) Q R0 e0 P3 o) b, U
iis存放IIS BANNER的所对应的dll文件如下: F$ J. [# V6 n
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
, p: w- F) O$ L' R* T FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
) T5 p" D6 n* j) s SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 4 c% L; w3 r" [; u1 i, e b
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
4 c# i4 C# S% m. q 具体过程如下: 2 a F# o' J/ P+ e
1.停掉iis iisreset /stop
7 r, W3 ]; r# N. o7 @0 V' O* [. V 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 # p4 V% B( p2 Y8 {- K( r6 Z
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
