|
一位高手整理的IIS FAQ $ n; b$ u# } g
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ; A1 H* x' a& p' f8 `. v! e
1.如何让asp脚本以system权限运行 X2 }, v7 ~2 k4 n
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
/ G3 @# x5 R8 e) w2.如何防止asp木马 2 A3 X5 _0 O# N9 v
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
+ n0 b( B# F. W3 k( g& F8 v regsvr32 scrrun.dll /u /s //删除 # M4 N; |9 x7 r: [
基于shell.application组件的asp木马
( S) L% F. T8 T* [% r K k% s; w cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
6 O# X+ D! Y% _: C$ o Z' D regsvr32 shell32.dll /u /s //删除
0 @6 J+ j2 g/ a7 S& t3.如何加密asp文件 ! w; H8 @! p$ M, ]% o
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " s1 q6 k s0 ~8 w) X- C
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 : ^( m$ X; @0 t
运行screnc - l vbscript source.asp destination.asp
+ U& }+ c# \7 w0 ~% W# S; q( [6 Z+ K 生成包含密文ASP脚本的新文件destination.asp 9 e% m3 B# e8 B, l+ J$ R6 ~
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 $ G# b! j3 [6 d7 @2 h
但无法加密中文。 9 d/ |1 `/ y3 f3 n
4.如何从IISLockdown中提取urlscan
$ Q8 T# z# l& P- C, g: p6 K iislockd.exe /q /c /t:c:\urlscan
# B( N2 S% K. G% r# ]5.如何防止Content-Location标头暴露了web服务器的内部IP地址
+ d e2 K6 } u/ [5 @9 Y 执行
4 e4 V2 Q/ {) z/ l i cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True / F* e3 G4 Q# y
最后需要重新启动iis 9 Y' _' z# {' P e5 K3 |2 Q% p
6.如何解决HTTP500内部错误 * q. _" n5 r3 T; m
iis http500内部错误大部分原因
; D4 b$ b- m- K( q! S8 f 主要是由于iwam账号的密码不同步造成的。 & f& v3 P% r9 B6 p* I, A- ?0 G
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 " R' G. [( O: @/ ~' L9 z+ Q, G$ S
执行
( S& X" H' B4 q1 |. Q/ f7 I4 g' P( y' o cscript c:\inetpub\adminscripts\synciwam.vbs -v # h" a( ^8 P o6 S
7.如何增强iis防御SYN Flood的能力
) U) w' a8 y1 J# |; G Windows Registry Editor Version 5.00
7 s( c5 N$ A; W( P" X' B9 ^& Z [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] $ v) k0 k' ]0 o9 S+ W
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
0 T/ ^" n9 y6 B3 d 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 4 k2 t/ h+ ?( f7 r k: z6 I
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
$ q. ~# W- a: E" |4 y0 q V6 C- p/ j "TcpMaxHalfOpen"=dword:00000064 9 g1 a: T7 Z, d5 K4 z4 D
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 1 b% C6 r$ H7 N: c4 p+ G
"TcpMaxHalfOpenRetried"=dword:00000050 : K3 v, C- z2 A$ @9 j: p: V
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
# v' e" T/ Z* l, d3 [6 Y0 |" l e 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
; S, p0 |: o- t; p7 X! } h 微软站点安全推荐为2。
! P/ i# g5 O3 X! o "TcpMaxConnectResponseRetransmissions"=dword:00000001
# P/ ~0 m0 d' d! c4 l 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ' s0 c9 I& j- q6 j5 l+ J
"TcpMaxDataRetransmissions"=dword:00000003 ( S* `. ]8 Q/ z% V! f
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 , P/ k/ y# P1 N+ m
"TCPMaxPortsExhausted"=dword:00000005 ) d% G E) @7 H4 T3 \' R
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 & v! }! m4 d, a3 }' v7 Y3 {
"DisableIPSourceRouting"=dword:0000002
2 a7 U: ~5 t' H. m 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' p7 P7 v, X7 v1 | "TcpTimedWaitDelay"=dword:0000001e
5 |3 ?2 t9 Q, Q/ F! N) `1 R" _$ H8.如何避免*mdb文件被下载 + i. A! \1 W+ p
安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 A+ {+ E! E: \* P# w- I+ s5 I! r 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 / ? j' o ^7 l! g! d# H
9.如何让iis的最小ntfs权限运行 $ W9 `, J( ^5 ~! [, r1 }
依次做下面的工作:
1 O4 [) B' W7 @" Q! z* V$ |3 b a.选取整个硬盘:
' r8 ]6 A1 h/ F+ b0 l+ g5 ?& U e! ` system:完全控制 6 }8 ^/ Y# c. W
administrator:完全控制
5 a0 U! m, ~+ S! w: L (允许将来自父系的可继承性权限传播给对象) ; R7 o) z! M) U4 q
b.\program files\common files:
3 V! \( ^" g- W2 \ everyone:读取及运行 . L$ m6 j' w7 [8 R
列出文件目录
( w+ ~: j: R9 B6 H6 T9 A/ ~% I 读取 2 g: ~) @$ b! I/ f* T) t
(允许将来自父系的可继承性权限传播给对象)
* Z; C- H2 J* r3 } c.\inetpub\wwwroot: s: Y+ c$ e! N
iusr_machine:读取及运行 7 _3 _' {) i+ K( g
列出文件目录
3 V o. c/ Q) s2 G) [ 读取
; U7 ^& j. g) z) i( C: p7 j (允许将来自父系的可继承性权限传播给对象) - [6 M3 E8 R1 z1 O. m, R
e.\winnt\system32:
' K7 @2 V7 A2 Z E 选择除inetsrv和centsrv以外的所有目录, : v6 D u1 ~, _
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" @' k0 s7 n0 L8 F7 Z f.\winnt:
' ~4 m6 S7 ~* M0 D, A8 m {: [ 选择除了downloaded program files、help、iis temporary compressed files、
t# k; k# z9 H& z9 Y5 s6 L. o offline web pages、system32、tasks、temp、web以外的所有目录 & J$ g0 T. D7 B/ r) D+ M
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! r9 E$ o2 ?5 R0 u$ u- B: a& J# m5 g g.\winnt: 1 J" Z! } Y4 e; c; R
everyone:读取及运行
7 r( K5 n" W P/ h; J, z7 K 列出文件目录 0 L% @3 D4 b1 }
读取 2 R+ T- S ]4 n1 ~( c9 J
(允许将来自父系的可继承性权限传播给对象) 9 }1 W( v+ v3 X/ f! ~( D
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
( z( I6 n' x/ r" `: m t. g everyone:修改 & q. D, `/ d" o+ x4 B8 D0 E% a. M7 h
(允许将来自父系的可继承性权限传播给对象)
5 @* i" X8 s5 P4 r- F* B/ b10.如何隐藏iis版本
: d _8 P/ k# j8 v: R 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 4 w' g% q5 \% k; U% Y6 B( ^; G- h* b
iis存放IIS BANNER的所对应的dll文件如下: 4 L. C( ?) Q1 j$ v
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
0 j) i$ ]& ^+ }& A/ o FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL y W0 ~9 U* l! J0 E
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 1 y$ `& [" u9 d5 h! I
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
]/ ~4 f7 k- r* d# p: F, c 具体过程如下:
- c# v' S7 Y; W9 }0 F$ e 1.停掉iis iisreset /stop
- r" v- F. C4 d% S7 n' d 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
$ c$ d" [9 ~% B) S4 }: V! f: c 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
