|
一位高手整理的IIS FAQ
; ?( h& z9 ]7 j' K0 H下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
h, ^. \! Q8 t: e1.如何让asp脚本以system权限运行 5 V s, U; U3 x/ g
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
6 ^6 }1 {5 n: K+ p2.如何防止asp木马
( g% } S# [9 e$ C c" i! q U 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
/ X" k, `: {8 b0 X1 h! m regsvr32 scrrun.dll /u /s //删除
$ ] ~( a! Q* |9 v5 N+ ] 基于shell.application组件的asp木马 # e7 I. H1 u4 L. y& `
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 % V' o$ H8 P- o6 j( s
regsvr32 shell32.dll /u /s //删除 , t! }! W. W V8 r
3.如何加密asp文件 : h. `7 G$ L+ ~/ U
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ! D- U& k& W% f x% r4 p
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
' o& R% o7 F7 Y& q 运行screnc - l vbscript source.asp destination.asp
* w3 l# ]1 I) R4 p 生成包含密文ASP脚本的新文件destination.asp * P" o/ L t4 d( D; j. g7 p
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
3 j C% _+ E5 u) b, {( V, D 但无法加密中文。
5 j8 T2 L; |$ \1 i6 c. x+ i' V( \# ~4.如何从IISLockdown中提取urlscan
$ _: p0 t5 I4 i. f0 R1 q iislockd.exe /q /c /t:c:\urlscan
, u8 s) }. j4 d& M% E7 N- S5.如何防止Content-Location标头暴露了web服务器的内部IP地址
& j% `- U$ q/ ~; g, {" e3 u 执行 * t9 e2 j4 [; \ g! H
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
: u+ ]* Y; K9 [/ m4 O 最后需要重新启动iis
/ _' O$ j+ l: q* K, n5 |! R6.如何解决HTTP500内部错误 3 ~) z/ p$ w6 n7 h
iis http500内部错误大部分原因 6 G9 ^5 c, z0 H& A/ i
主要是由于iwam账号的密码不同步造成的。 3 [+ e# i N5 y( f
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
$ g D& S2 @* j/ m: C 执行
0 B* }/ g% [6 c' \ cscript c:\inetpub\adminscripts\synciwam.vbs -v / z* z5 ~7 s6 O3 n4 W+ q
7.如何增强iis防御SYN Flood的能力
# t. C5 ~2 x5 E$ j7 y O Windows Registry Editor Version 5.00
# H- E, x, U- ^4 @9 x2 a# [% B. } [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] % j/ W! u& _; J. o2 [( {% E4 H
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
4 T9 ^3 o$ c7 n g. k 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 6 \* U% O: i2 K: v; ] s! M
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ' V" o% ~6 u: d0 C3 T. |' y
"TcpMaxHalfOpen"=dword:00000064
, S& q6 X7 }6 n* r9 [) `7 b8 j 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 2 _9 q6 k8 y$ ]
"TcpMaxHalfOpenRetried"=dword:00000050
3 b8 s+ ?0 x7 A8 \- ~ ^ 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
# ]3 H. w/ V( }- U% b# V; t8 ? 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ' W8 g F H8 l3 p! A
微软站点安全推荐为2。 5 ~& I5 Q( y3 b0 v4 u
"TcpMaxConnectResponseRetransmissions"=dword:00000001 / t- K! m! E" ?4 C, o" ]
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- o, _' e* S& `7 Q q) k "TcpMaxDataRetransmissions"=dword:00000003
' Q% Y" x: e. b) J 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
' j e& @: W5 b "TCPMaxPortsExhausted"=dword:00000005
- F1 K: M: T1 I; a# d; r 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 " i% ?; ~: D& @
"DisableIPSourceRouting"=dword:0000002 . @) `' h8 o7 \" u
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 . _* w- D% ?+ Q s( }
"TcpTimedWaitDelay"=dword:0000001e & F* R b, m# m: e( s0 V i
8.如何避免*mdb文件被下载 ( u+ L! T# f; D& X
安装ms发布的urlscan工具,可以从根本上解决这个问题。 # I2 l- Q" z4 U
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 y! l5 s1 A) U* Y" i
9.如何让iis的最小ntfs权限运行 " w5 Z, H/ Y4 u$ ?* |. X0 x9 v
依次做下面的工作: ! A& o V; Y1 {. \; g: L7 r
a.选取整个硬盘:
: z @6 p6 e$ h8 ~ system:完全控制
* ]9 {: i: @; k' [5 q administrator:完全控制 & Y7 n4 X* R: J+ `6 R8 W3 F
(允许将来自父系的可继承性权限传播给对象)
, z- R9 ?- c5 n b.\program files\common files: 8 _" u% ~: [9 N. m
everyone:读取及运行
) b5 l [; o4 B2 f- q( T j 列出文件目录 . u9 h/ c* s5 Q' q$ o0 l
读取
1 B+ s% O4 J% \; T, z (允许将来自父系的可继承性权限传播给对象) ( m3 \- y6 U$ f) o% g$ T ~! r* B
c.\inetpub\wwwroot: ' r5 q { r, B$ x) X- w+ l+ S
iusr_machine:读取及运行 ' j& I# y9 ?6 \- C5 q1 ~" d8 `
列出文件目录 . _# x: G1 I, ^, Q3 m3 P" X
读取
4 P( s! [3 D+ m7 K% T (允许将来自父系的可继承性权限传播给对象) # G$ g2 F1 }0 `# k
e.\winnt\system32: " f; T9 e. x }) d
选择除inetsrv和centsrv以外的所有目录, 0 M5 f: J% ]+ H5 C& A8 b1 {
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 8 t: Y& Y, P$ O M6 _1 m1 M0 h
f.\winnt: 5 o* S# n6 B2 T$ o/ {. S8 G
选择除了downloaded program files、help、iis temporary compressed files、
5 a, a/ P; g3 m offline web pages、system32、tasks、temp、web以外的所有目录
1 I- I( I4 m% |/ N+ G 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! c/ c2 I: z! s! C( @ g.\winnt:
: e9 H- h7 ~( h/ U everyone:读取及运行
% L( ]' U% c& E1 u9 }% s: D 列出文件目录
. ?- d9 j% q: n" p 读取
5 B- e$ y6 X- q5 T6 h" i' Y* Q8 @ (允许将来自父系的可继承性权限传播给对象)
- b$ y- @$ S1 k* w4 I r# i h.\winnt\temp:(允许访问数据库并显示在asp页面上) . m l! ^4 |' `
everyone:修改 5 r9 D. y9 N3 Z- I/ G
(允许将来自父系的可继承性权限传播给对象) 3 A6 _ i& J. S: l
10.如何隐藏iis版本 % b7 J* _) Q2 |' w
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ) j, t. R2 t$ Z- K
iis存放IIS BANNER的所对应的dll文件如下:
( k5 |& x; U, M0 k8 [ WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 9 K# b9 x8 j! A3 X g0 d7 n$ B# W* K
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
7 i' ^6 t: c. C4 U* q* c0 [& j( t SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL / F1 i' N) G0 v
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
/ t) ~! c: o! s1 q; [2 t* Q 具体过程如下:
( C* w* e: K( Q: F 1.停掉iis iisreset /stop * j! H- f$ J6 J$ q! T C
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
" @& [/ d R. [& ~ 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
