|
一位高手整理的IIS FAQ
' L" I7 L* M* C) `% n1 y下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
+ ~. `7 K; {& e, f7 H1.如何让asp脚本以system权限运行
- V1 B" J$ |. b$ S! t, x _" X 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
, \, v' g; r1 J( l8 f2.如何防止asp木马 % Q$ u8 k4 F2 ]: o
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 $ Z7 D' j' X2 [/ D7 L
regsvr32 scrrun.dll /u /s //删除
$ p* r' [0 p% Z5 v- A6 M. {4 V3 J 基于shell.application组件的asp木马 ' |0 E3 {; K! ^, N, B; v: d+ h
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
% I0 J6 x2 V* h5 J regsvr32 shell32.dll /u /s //删除
/ K. X( K( H$ d; |1 z3.如何加密asp文件
. m* E! c1 A4 c: n7 d9 J S: i' t4 o 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ! A% i% X+ d9 g* b; L2 n
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
# |' q( p+ P& n; m 运行screnc - l vbscript source.asp destination.asp
' Q' N" a4 G" ]! [$ u1 R 生成包含密文ASP脚本的新文件destination.asp ( H+ R- Q' F3 p( P* }& Z. `
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 ! a1 z Y4 Y+ y5 h8 g! H4 b# y
但无法加密中文。
9 p5 j; B. i* b! T b! k4.如何从IISLockdown中提取urlscan 4 A: H4 o. K7 k7 q) d
iislockd.exe /q /c /t:c:\urlscan 9 p+ `- D5 G8 e: }' l* _ g' z
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
6 d s; p! N" ]9 x9 R: Z7 Y 执行 8 V/ P/ t; L" O- m# T4 i! Y0 k" p
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True $ i+ Y F8 \1 }" |6 C# c, h* y, q
最后需要重新启动iis
! s4 {( e. h; q& P1 w! T6.如何解决HTTP500内部错误 5 K& V- U9 i1 ]: k
iis http500内部错误大部分原因
* W+ U/ `% Q- I; V7 S& S/ n1 k 主要是由于iwam账号的密码不同步造成的。
: V, @; i3 X4 k% R7 d9 g* \. c 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 - }3 S5 z& N4 x' z; o; ^
执行
# K5 ]$ P/ H. s4 G5 E C2 B0 J# I cscript c:\inetpub\adminscripts\synciwam.vbs -v g' H6 A G9 a0 G8 Z d3 F
7.如何增强iis防御SYN Flood的能力
! K0 \/ y' V; H0 p( U, Y [. I Windows Registry Editor Version 5.00 ( _4 w2 r b4 _" b: F( Q
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
K: u' r* W3 S$ T! o 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
0 M, A: l3 ^5 C5 b 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 5 k; _( R, c2 q# T, C, W0 ^
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- M8 D1 e$ B' W( X3 N: P "TcpMaxHalfOpen"=dword:00000064
) [$ A$ F1 n1 A' K' K# s 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 8 f) i/ R6 G% R0 Q0 l7 [# p
"TcpMaxHalfOpenRetried"=dword:00000050 1 C) X( O. v( d7 g# F
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ' w& B' q! g; V; n/ [
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 5 h6 r1 N0 R7 e8 Q- w- ^* m
微软站点安全推荐为2。
/ b- n2 }/ S" M4 S; Q3 L; i/ L "TcpMaxConnectResponseRetransmissions"=dword:00000001 + z9 V) _ T4 e% D8 _
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 % }! R- v V& c& S* t% Q$ _
"TcpMaxDataRetransmissions"=dword:00000003
- i" f9 s* i5 |( k) y! k- ?4 t 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 2 }3 f+ R3 \! \8 e% t
"TCPMaxPortsExhausted"=dword:00000005
! G5 N4 m* N. P, v( w6 y( g2 j 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 $ c, D: }/ g. |- H' n
"DisableIPSourceRouting"=dword:0000002
$ i5 P m% G! k. |' {3 i6 A 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
$ x( ?6 j, q7 s. R; b* ] "TcpTimedWaitDelay"=dword:0000001e , ^6 y$ W& A: V' r
8.如何避免*mdb文件被下载
! m; }; \! O9 E( h/ q% }2 B 安装ms发布的urlscan工具,可以从根本上解决这个问题。
; K" ?& z4 s$ y8 ?1 E 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) B% y8 k& y+ x _' ]6 T9.如何让iis的最小ntfs权限运行
: S6 V% S+ i/ }/ u8 D* m 依次做下面的工作: # \% e$ }7 _% L& u
a.选取整个硬盘: & B4 u: n8 D4 C4 U A( p
system:完全控制
$ m$ K8 y! W m) g7 K! L administrator:完全控制 8 c% Y& J7 c$ r! E
(允许将来自父系的可继承性权限传播给对象) + @ L* U" O4 _: i) g) f7 C* ^& n; `* x4 J
b.\program files\common files:
3 b) Y6 N# I* R everyone:读取及运行
0 N! C# Z# y7 C* r& t: r8 v 列出文件目录
& U' K' Q: i( k, G+ x1 V6 z 读取
0 `% f+ |. Z' ~8 `5 @- j1 q$ ?3 p6 i (允许将来自父系的可继承性权限传播给对象) 0 w' z }& T5 F: B: g
c.\inetpub\wwwroot: ( `/ r" V* z+ w/ P( k/ M
iusr_machine:读取及运行
& O3 I- j8 [4 E) y& B8 C' F Q 列出文件目录
3 Q1 F, N0 ^2 D) E( h9 O3 p 读取 4 j% { J# l) V _+ U
(允许将来自父系的可继承性权限传播给对象)
: z8 l; B z9 d" h7 r e.\winnt\system32:
% A0 g- Q/ `3 L2 `( U 选择除inetsrv和centsrv以外的所有目录,
7 \9 a- r* S" d7 |! V1 t" K 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' ?; d: g6 }! L& F/ J9 \, _) o, I0 k f.\winnt:
& x0 D/ b. o9 X, a 选择除了downloaded program files、help、iis temporary compressed files、 / X* `5 u8 L3 j1 z. d% v
offline web pages、system32、tasks、temp、web以外的所有目录
( t2 P* A) R/ ~ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
- e) a1 Y) U# \ g.\winnt:
+ b5 h2 a1 U) U; Q" d' P everyone:读取及运行
5 I9 |( V n( L 列出文件目录 6 F( z: q4 D1 i/ C: D6 M
读取
# _; U' {+ L& E( e/ C$ X& o7 E* ~ (允许将来自父系的可继承性权限传播给对象) . \7 }) L4 e! ?8 W: t' g; x
h.\winnt\temp:(允许访问数据库并显示在asp页面上) ' C0 O+ { e# d1 y0 I2 Q$ s
everyone:修改
9 [7 T8 X4 @6 v8 | ~7 q2 a* a (允许将来自父系的可继承性权限传播给对象)
5 N, R( D8 o/ z+ j8 r0 L10.如何隐藏iis版本 9 T6 C' U3 Q, d9 K& e
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
! f4 D! f; d; O+ ^ F8 q" V6 F iis存放IIS BANNER的所对应的dll文件如下: $ Y7 B' Z z a! C3 E. o
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL / W* t, Y( j8 y9 R3 J- G" h8 O
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL / ]; S- O7 c$ Q
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL - G" C; p0 v. m% B& g8 N
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
) V1 [' o& ~. | 具体过程如下: + |5 r1 g0 G8 \. g. z0 o, X
1.停掉iis iisreset /stop
6 c% J6 Q! A4 m: @8 h 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 ) l5 o& u2 T$ A
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
