|
一位高手整理的IIS FAQ 9 W: W' t) m6 a: o+ U' I* w8 F
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! # q; C$ m$ L0 c
1.如何让asp脚本以system权限运行 : L5 X3 E) T2 ~( v$ P
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 Y2 k; I; ~2 b& b" L2 |2.如何防止asp木马
9 b2 A8 |7 Y) Z* H 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
& k! I! ^/ ]4 J0 {4 D2 z4 t regsvr32 scrrun.dll /u /s //删除
3 D0 e& [: N1 A) ^ 基于shell.application组件的asp木马 5 C$ h+ ~" n0 L( ]) k
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 8 p* u* |: T% C4 H7 |. T
regsvr32 shell32.dll /u /s //删除 8 k. g. f# f- @4 T
3.如何加密asp文件
* J) Z' |2 E, W) l+ l- C% d. b& N9 W 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 9 r. O0 f- t( G' J( E# [
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- U3 ~' C# e2 z5 m6 o 运行screnc - l vbscript source.asp destination.asp
, @3 ?0 A2 m9 {- f6 v8 _ 生成包含密文ASP脚本的新文件destination.asp
) r: a: k+ {/ H0 I4 Z9 ]$ F 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
3 w' _6 r% e; i( { 但无法加密中文。
' S/ O3 H5 ^% J8 b' c1 f2 i4 |* f4.如何从IISLockdown中提取urlscan
2 f0 ~ w, L+ p3 I% N% c, e' E) b- R2 H iislockd.exe /q /c /t:c:\urlscan ( U& R, r5 v& w5 ]0 N9 L
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 ' s K( i) D* x d* F/ p" _+ Q
执行
$ { a/ H( X/ H G7 I9 ^. n! W cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 4 S M1 Y) i$ q$ M! T3 l
最后需要重新启动iis
6 m3 d9 S) X( y5 y- {. p6.如何解决HTTP500内部错误
. [* ^; g/ r3 m1 {# K, P iis http500内部错误大部分原因
B0 [6 U- }% U1 S2 I7 n- ^ 主要是由于iwam账号的密码不同步造成的。 ; e% @/ C# {7 W7 `2 \' I" A
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
4 k& N! G9 I" z- B' B 执行
' J- b/ c2 P; @' E: X0 V: y cscript c:\inetpub\adminscripts\synciwam.vbs -v
1 V# p1 B: j1 }; c4 ?7.如何增强iis防御SYN Flood的能力 + V' |# f1 b: U/ m( |) o, M/ j
Windows Registry Editor Version 5.00 8 b$ T& o( j. `* `
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
, ~' l: H/ K) G2 i9 N 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
/ V( \1 L( y% H* @/ S 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
& {8 A/ K3 g' k% }+ ~; K. G2 r "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 3 p/ @) e6 \7 y+ e) x
"TcpMaxHalfOpen"=dword:00000064 % r `* C9 `& y) P; S; b" }. u2 C. b
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 * n/ K& @ `: o2 E, a
"TcpMaxHalfOpenRetried"=dword:00000050
; r4 |3 G. x! B9 U 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
7 S& H6 {- M1 o$ y/ Q# O8 K 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
9 t/ y% @# |; w' P2 ^& U 微软站点安全推荐为2。 % @7 E W5 u: u; F% y) u
"TcpMaxConnectResponseRetransmissions"=dword:00000001
) d5 ^5 Q9 l% U( R 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
. R r$ C' Y/ n/ M "TcpMaxDataRetransmissions"=dword:00000003
% c2 Q5 t3 W+ Z2 i 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
$ w- U( F9 ]2 r" x "TCPMaxPortsExhausted"=dword:00000005
* R) x, ^9 L; _& w3 p 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
: d/ m; z3 t- Y1 n2 R- Q "DisableIPSourceRouting"=dword:0000002 3 j# j/ d5 ]: t0 P3 S1 A6 F# V( O
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
. x0 P9 C* Z: E: Y "TcpTimedWaitDelay"=dword:0000001e 3 j# K4 U' h% b# m
8.如何避免*mdb文件被下载
: K! d4 Y+ [+ j: R2 c: l' D 安装ms发布的urlscan工具,可以从根本上解决这个问题。
8 k$ g) [; S: k( \/ p0 E) V 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 8 m" G+ ?4 X8 J: C2 I0 ^& x6 K2 f
9.如何让iis的最小ntfs权限运行 + U/ N0 N: T/ n4 l7 Y0 A
依次做下面的工作: % S2 z9 V1 d: k. z B* C
a.选取整个硬盘: ! q2 i' E9 ^/ W3 s- Z' T. F# Q* l
system:完全控制 , B+ t, Q n2 N0 }
administrator:完全控制
* B; ]. D- c5 z# N9 n; P7 Y (允许将来自父系的可继承性权限传播给对象)
3 }6 h7 s& d0 x. r b.\program files\common files:
8 }+ f. t9 m8 J- Y1 ]+ O q+ P everyone:读取及运行
) ^4 y, Y- h" e 列出文件目录 / K7 y" g3 N+ N! B* H/ v
读取
: Q; k4 q# [) A; _ I' e: j. A (允许将来自父系的可继承性权限传播给对象) ) X3 P! W4 f. E9 ~ ^. n; h
c.\inetpub\wwwroot: 4 {8 }( Q4 p3 j+ p$ i7 s' N
iusr_machine:读取及运行
; T: H% o5 |& n 列出文件目录
0 X+ ?8 ?7 @! z/ B) L/ o$ I 读取
G% p2 ^) M# R g. h5 v (允许将来自父系的可继承性权限传播给对象)
) g9 `* `) l/ p% Z e.\winnt\system32:
' D9 W) A! H" U" @8 @" ]) x 选择除inetsrv和centsrv以外的所有目录, : O4 X" j2 F3 i9 B
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 % @+ e; S/ ?' ^, k( h, Y) \
f.\winnt:
7 j8 d& N% c c Q( o 选择除了downloaded program files、help、iis temporary compressed files、
$ F, |( m0 P7 t+ J U1 ? offline web pages、system32、tasks、temp、web以外的所有目录
( r. c# `5 m' u" T$ u 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 8 I. U: G* s) M6 ?
g.\winnt: $ D: g! }' w' i" r
everyone:读取及运行 P+ O: Z. @3 S" v
列出文件目录
- Q3 C: g3 x; w1 X8 q3 u4 n) B 读取
% ?4 r7 P" S2 v# x" n a (允许将来自父系的可继承性权限传播给对象)
8 { _1 A0 B! X6 I h.\winnt\temp:(允许访问数据库并显示在asp页面上)
# B* V7 u% r% G5 @1 P everyone:修改 6 k/ `# l6 v& \2 P' P1 Y, Y
(允许将来自父系的可继承性权限传播给对象)
& g. \0 p1 Q1 j. u10.如何隐藏iis版本
% K% g0 [8 Y, Q1 q5 A 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ; r4 X5 h2 j, p- V; n9 j# L
iis存放IIS BANNER的所对应的dll文件如下: 1 i. c: v; z3 t% k: `
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 4 ]2 H2 ~* ]: _+ C8 f0 e3 V$ R# m
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 8 I8 y% c& N; i# E& j
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
2 E( I5 I( C; L" ^ k 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 M, j [) ]5 F5 i9 b7 T6 W+ _
具体过程如下: 5 c. F: W$ X' F
1.停掉iis iisreset /stop
/ `0 c J7 A! t% | ?8 e 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
7 Z. s& B O$ f% g z+ F0 | 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
