|
一位高手整理的IIS FAQ
& K o$ }6 F1 f& y下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 9 v# r* Z" u; l; E! o+ ^: C8 `) z6 r
1.如何让asp脚本以system权限运行 2 E) T4 x( U8 q3 ^; P
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... # Y! J) q1 c+ O0 J) z. D# M+ ^
2.如何防止asp木马 " P( m% o7 {( g9 t
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 $ C- Z$ a) t4 X
regsvr32 scrrun.dll /u /s //删除
6 n; @8 d& _! T 基于shell.application组件的asp木马 8 A' u2 K- A" L
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 & J5 m6 h% d8 f
regsvr32 shell32.dll /u /s //删除 0 N+ `3 B5 c$ v' i1 }
3.如何加密asp文件 9 P- L1 _1 m$ j6 K7 W0 {
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 + \) u( }' {2 d0 o8 @! O
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ! K( L" ^6 T$ m- y( i
运行screnc - l vbscript source.asp destination.asp
1 ?" f+ M* |3 ~; W$ l 生成包含密文ASP脚本的新文件destination.asp % w2 Q. b+ C+ w3 o+ J& F
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* S2 A0 t/ I6 B 但无法加密中文。 . I( K: u. P1 u0 q+ V. t( B
4.如何从IISLockdown中提取urlscan
! x0 }' U% N8 F! d6 l iislockd.exe /q /c /t:c:\urlscan
2 }3 Y3 `! v7 z/ C V |4 V5.如何防止Content-Location标头暴露了web服务器的内部IP地址
f3 n) b) \4 G! q 执行 - a8 p2 j0 |' H! ?# X% ]
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 8 e' z- H, d7 j% `% Y
最后需要重新启动iis
6 f" G( T, ~- B, b; p! i6.如何解决HTTP500内部错误
& T6 F I7 w9 s" q iis http500内部错误大部分原因
% s+ O) L( x" G# i( r1 I% ? 主要是由于iwam账号的密码不同步造成的。
& J I$ ~; B, D' H4 k/ t 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
' @9 i2 u& j( @, W) s) T 执行
4 i0 L( a' w1 `# \4 Y cscript c:\inetpub\adminscripts\synciwam.vbs -v
7 L( K( A; f2 s6 a7.如何增强iis防御SYN Flood的能力 / u2 p+ {& _- Z
Windows Registry Editor Version 5.00 3 e. O" S) e& l! M7 ]1 V
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] : W7 s _: _, z; s* K& Y
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 ; g# J! T! e* S# ?# A) W- m) N; G
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
, o5 ?' `) H* T1 v/ P6 G6 s) z& y "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
3 f6 P' S& o" Q# Z "TcpMaxHalfOpen"=dword:00000064
0 L" F% k6 g: g0 [3 S8 X5 R 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
! H2 h: m/ f9 J# {* R "TcpMaxHalfOpenRetried"=dword:00000050
0 m5 z7 W2 W3 r% [3 I( ]- w 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 % [& C, k, N# L' N: }
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
+ [) l- Y7 S+ V, e) o 微软站点安全推荐为2。 ! I; D) _. e" Y7 `1 y* E' o% i! b
"TcpMaxConnectResponseRetransmissions"=dword:00000001
# ?3 |3 C5 N6 b% k* M: s$ [ 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 8 e% c+ B3 c8 N# w% l
"TcpMaxDataRetransmissions"=dword:00000003 ' p! V4 ~3 h+ O' P4 e
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 $ E" X' ~! [' \4 q
"TCPMaxPortsExhausted"=dword:00000005 " D( K+ g d9 m6 d( T. [* f; i
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
2 F# d( i' G+ m% [+ Q "DisableIPSourceRouting"=dword:0000002 * w1 t0 F: r0 f0 ^ C/ Y/ k
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
$ O1 K9 w% Q6 z: h& G "TcpTimedWaitDelay"=dword:0000001e
2 Q. L/ c2 [0 @: Y8.如何避免*mdb文件被下载
7 T: t k6 k+ K! k 安装ms发布的urlscan工具,可以从根本上解决这个问题。
# L8 ^) d# H h2 D2 k6 m 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ; K% ]3 c+ L) Z6 p: l+ p$ R
9.如何让iis的最小ntfs权限运行
- G Z2 v# j) H; i5 W% \ 依次做下面的工作:
) M6 S% i" a- [, ?3 P' k& w8 D a.选取整个硬盘:
0 W2 a* i; y; [ system:完全控制
. Z4 \5 N$ N2 a7 L! w* Q- _ administrator:完全控制 3 L4 @1 H; r/ _
(允许将来自父系的可继承性权限传播给对象) ( i: N$ }8 F f! c6 m4 E. o
b.\program files\common files: 9 S; d; Z6 M; c- _) W
everyone:读取及运行 ) G5 D( l0 X! B9 ^, S7 U5 W: H
列出文件目录 ; W. m% }# C4 a1 B
读取
. y3 v+ _3 e7 m, m" X" I& U (允许将来自父系的可继承性权限传播给对象) / r4 g1 c( `4 a7 C. ?% w( b, N
c.\inetpub\wwwroot: % ?7 p4 {' O* T" V& @$ G
iusr_machine:读取及运行 h+ I% H6 t0 h
列出文件目录
% r8 t& i" t4 V2 T! R2 G: |" v 读取
% Z+ y4 E1 F# [ (允许将来自父系的可继承性权限传播给对象) & z/ X1 n+ t. }" @8 {' }1 r
e.\winnt\system32:
4 j' ]% e& R8 @4 H% @ 选择除inetsrv和centsrv以外的所有目录, ; @$ Q$ B5 [# S0 u4 [) M( ^: @$ x
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. Y A) u* {( O' q$ e* I; ] f.\winnt: ) Z. H9 C+ z# s
选择除了downloaded program files、help、iis temporary compressed files、
1 x; X4 @: G- w% } offline web pages、system32、tasks、temp、web以外的所有目录
# _: v0 o2 Q$ V# @# e 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
O( y, W$ v8 w2 Y; B g.\winnt: ; r( N( F/ E+ _8 Y; C. A" L* y/ Y Q" o
everyone:读取及运行 + s6 F5 w4 H1 \9 q. N
列出文件目录 # n: @) e% M% q! x" h! {6 C
读取 & |" q$ s# r) k/ v' ~
(允许将来自父系的可继承性权限传播给对象)
! J1 p. m2 J# d0 T h.\winnt\temp:(允许访问数据库并显示在asp页面上) ' R! E: j" C9 y
everyone:修改 4 R, _. c0 ~7 [3 k
(允许将来自父系的可继承性权限传播给对象)
- h/ z, a' [! ^0 U10.如何隐藏iis版本
* M- w8 k3 ^1 c6 j k5 t2 V% y; C 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
' s; y& g4 M; r) f7 n2 i iis存放IIS BANNER的所对应的dll文件如下: 1 t( f- d6 J7 p$ h# J
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
5 w$ _# O/ O+ j5 h: \ FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL + I2 M) S$ ?% I- }% J
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
& c( ?* ~3 S6 F9 w* W. B 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
) _+ d: B" r: Q% |. ^ G# X8 W5 F' f' |! V 具体过程如下: ; Z# w4 O3 o6 h
1.停掉iis iisreset /stop / r' |- j5 H0 K1 ]' O. Q2 ]3 i( X
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 , ]# N p5 R! r% J/ H, ?7 I3 c
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
