|
一位高手整理的IIS FAQ 5 x6 T) k: }' X s: p
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! O2 b0 Z0 X0 P; D9 Z: }( M
1.如何让asp脚本以system权限运行 % d$ B7 K2 O P _6 \' g' h( y
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
f- z+ m2 C# e5 n- k: t5 }2.如何防止asp木马
2 b }. h: s7 M4 n* p1 X1 d 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
; A( l! I4 N Z" |! g regsvr32 scrrun.dll /u /s //删除
' ^" N _. A A( r2 c3 P& Z/ g 基于shell.application组件的asp木马
# ]- L0 j+ A' j cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
# s3 L j- L' t regsvr32 shell32.dll /u /s //删除
* u# `) T- T6 W3.如何加密asp文件
/ w5 |8 y4 S0 I4 `& k& z- q# \, d+ P 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 0 d4 f2 l' B' d7 c) A
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 , S) W7 o5 }5 U: w7 j# n/ Z9 Z
运行screnc - l vbscript source.asp destination.asp 0 o; {9 s: B) K( U7 n# X l+ _
生成包含密文ASP脚本的新文件destination.asp : Y% G" O9 u1 O. |, F
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
9 q% ^1 J' P1 g 但无法加密中文。
1 t4 X+ t8 D+ W, @ @0 b# C; A4.如何从IISLockdown中提取urlscan
; W; d6 l6 A% o ?$ f. v2 d- x iislockd.exe /q /c /t:c:\urlscan
1 q: Y3 U" j* I- W# [ P0 e5.如何防止Content-Location标头暴露了web服务器的内部IP地址
/ L! i7 E9 a/ [1 R# L6 R+ Y; c; T: b 执行 $ m; k3 I& ~8 t
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
$ c; [; R" ^. K0 Z0 n3 O 最后需要重新启动iis
: o( \+ }, s" p/ o( t6.如何解决HTTP500内部错误 " Q( T1 f! i( |8 s8 \' w1 F; S
iis http500内部错误大部分原因 8 M7 K; ~& N% w/ M
主要是由于iwam账号的密码不同步造成的。
1 h4 g: J, ^7 U! n% `; O 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 0 E$ J) H1 ?' h2 q- d) M y3 O
执行
% m" F' \2 J' u3 n cscript c:\inetpub\adminscripts\synciwam.vbs -v
- m0 I/ P& u+ I% a4 R$ \7.如何增强iis防御SYN Flood的能力 0 C# p4 e4 ~* e1 ]: D$ [
Windows Registry Editor Version 5.00
6 ~3 E$ Y( v% q) z. V7 o0 o [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
# G9 ?: b: x4 H) r$ y' a 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
: Q7 {1 j) ?+ {7 W, S' d0 c. r! n- z 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 # l2 o, w" J; I6 G: J5 e7 g7 W
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 5 K t+ W/ A8 W/ ?8 N$ v3 v, h
"TcpMaxHalfOpen"=dword:00000064 c3 c0 l7 F! t/ [/ D
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ; H1 t8 U: H) B7 ]. Z- m O ]
"TcpMaxHalfOpenRetried"=dword:00000050
/ u t/ K5 D" M, k% b) b2 q6 | 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 - |, O" b' r- a
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 \: ^, G: C& |6 K2 f# ]
微软站点安全推荐为2。 1 l$ z) G3 n' l. v5 v2 S4 D1 i) y
"TcpMaxConnectResponseRetransmissions"=dword:00000001
& x: @3 f9 y. i/ A/ Z' n6 w 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
; z1 J7 J( W8 U. ]4 K* _9 S; ]* q/ ? "TcpMaxDataRetransmissions"=dword:00000003
0 p& A% U' J% E5 R5 D 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 _4 ^( @- q& k ?2 X2 M3 j9 q
"TCPMaxPortsExhausted"=dword:00000005
2 g1 L# E& y1 t 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
( n/ l9 u6 k8 y "DisableIPSourceRouting"=dword:0000002 1 v2 c+ u+ u% N U0 R6 I
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 0 g+ c' @1 j0 v- ^1 b* S
"TcpTimedWaitDelay"=dword:0000001e - l$ R8 Z; H X; ^/ S
8.如何避免*mdb文件被下载
7 ]8 i8 K; K9 K 安装ms发布的urlscan工具,可以从根本上解决这个问题。 - \6 q7 h6 k9 a" H$ w5 v; c
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
|7 b- U4 f8 {% ^7 x" E! L9.如何让iis的最小ntfs权限运行 ( f# c8 ]1 P7 `& j; F( B
依次做下面的工作: ( |& G5 n( [4 {
a.选取整个硬盘:
; N* E7 j% _" A system:完全控制 \- @. M- m8 c) I
administrator:完全控制
1 W1 T* l, {$ ^# D (允许将来自父系的可继承性权限传播给对象)
; v* y3 D( @' A. f b.\program files\common files: ' z" Q3 R" n5 B
everyone:读取及运行 + t! T* s( b( o" L' d% W; P4 ?2 U
列出文件目录 0 B9 F" t) l; T6 D2 N
读取
( r+ D e y: Y. n. t; t (允许将来自父系的可继承性权限传播给对象)
2 G! A0 C: {& y7 E% G c.\inetpub\wwwroot: # X* R* Y3 p" ^! |
iusr_machine:读取及运行 8 T s. J3 @& }8 |' u$ h0 o
列出文件目录 + `$ }& W- c5 a8 d7 @0 l1 H* Y
读取
7 ~' Y U, A: U$ D: E% _ (允许将来自父系的可继承性权限传播给对象) . x* G* d2 T X. `
e.\winnt\system32: 7 ~' l$ Y& `% q: _
选择除inetsrv和centsrv以外的所有目录, 6 N. v. ^0 O/ m: o* A+ Q
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: t& Q/ w$ p! Z. } f.\winnt: 7 B2 D, I# h$ }+ t8 a
选择除了downloaded program files、help、iis temporary compressed files、 * o3 ]/ e0 x2 K' i; E Q7 y
offline web pages、system32、tasks、temp、web以外的所有目录
0 K8 c l% f% h4 x- n' N 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 3 c2 ^1 e0 c3 @ \. p$ f
g.\winnt:
3 G5 @6 V4 F4 Z+ Z4 i+ ] everyone:读取及运行 , p: [" ?0 z) y' V
列出文件目录 3 a/ I9 K! g( l, [
读取 - D$ F4 \! r; T3 J+ y: J6 Y1 R
(允许将来自父系的可继承性权限传播给对象)
; t' o3 h/ e" F$ M+ v4 X3 k* b/ T' E7 o h.\winnt\temp:(允许访问数据库并显示在asp页面上)
4 ~5 M) F6 L1 K% d& Z$ P everyone:修改
; e% d, v- J9 I2 ^ (允许将来自父系的可继承性权限传播给对象)
9 Y3 g! I% j! _10.如何隐藏iis版本 " Y* \( o. R+ g" L- _9 d. K% T& T1 s
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
1 t8 \& q0 ^ x+ l6 }2 C' q0 y; o, c iis存放IIS BANNER的所对应的dll文件如下: ; ~* S: M. l9 ~# x2 V% o/ B8 q9 O
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
4 v u8 E) h5 I1 M8 x- R5 h/ ] FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 8 p2 m2 v/ H" V. V: a# @' v
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 7 \. ^) }( W; p. M) ?& l
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 7 A* q1 E1 }' }1 y+ ~2 x7 C
具体过程如下: ' F% T% z: g; w
1.停掉iis iisreset /stop ' ], T1 w. x4 ?1 ]: u1 V# f
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
! J9 V, O8 G! O 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
