|
一位高手整理的IIS FAQ . o8 b) a& G8 |! V( D U6 [3 \
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
' k* D. c9 F% r7 {1.如何让asp脚本以system权限运行 . a1 g, ^7 _# C
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
# K* I C6 ~% Y) c/ e2.如何防止asp木马 * T( r( c5 x/ n$ m3 l. \
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 1 q/ |4 x: L/ g. n6 H, s4 n7 b {
regsvr32 scrrun.dll /u /s //删除 o: h% L- D& @* {7 p8 k2 C
基于shell.application组件的asp木马 7 r) x: I/ A! L. ?$ |
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 : M0 ]1 h. t. I+ Y+ A
regsvr32 shell32.dll /u /s //删除 , i; }0 J8 U& q# F3 m
3.如何加密asp文件
& s, N7 Y0 |6 F6 j, N3 ` a$ H 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 V. m, O- ?& J( ^! x 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ V; Q( e& o, [2 a& G& s( C3 }+ h 运行screnc - l vbscript source.asp destination.asp
1 c, W1 C/ m/ J+ d5 r 生成包含密文ASP脚本的新文件destination.asp 8 a0 e. F1 ^+ t+ E4 d8 s# T* W
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 8 G! k1 _- d. m. p2 J, M- L/ F" f
但无法加密中文。
1 s$ l, }8 [3 w4 _6 a0 @% [4.如何从IISLockdown中提取urlscan
/ l' P7 J% Z/ X/ b! L1 j {- c iislockd.exe /q /c /t:c:\urlscan * [6 J. r/ D+ c8 C2 F; c9 p
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 6 c* Z9 o" F- N
执行 6 ` r% R* A r* O
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 6 }: H( S/ N1 V: X. p& |
最后需要重新启动iis ! Z; U* ~. l4 F/ c; O
6.如何解决HTTP500内部错误 - Q1 e6 N5 `" @+ f% h+ C
iis http500内部错误大部分原因 . n3 |( M+ `$ z- |+ K9 i: u
主要是由于iwam账号的密码不同步造成的。 0 X% o* P$ N9 M( X
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
0 r( I2 W! S) {# S9 M 执行 1 b8 S) m$ y) I& p4 z. V1 B
cscript c:\inetpub\adminscripts\synciwam.vbs -v 6 d% e1 G7 [7 T0 \1 C* v* \
7.如何增强iis防御SYN Flood的能力 0 T4 w4 q$ o* }, t6 u
Windows Registry Editor Version 5.00 % S$ ^0 S9 {2 e6 j6 _
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
+ S1 @3 V) {) f6 \ n) i* A 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
4 _) |* F5 P5 }& T0 L: K 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ' z, `+ ~$ f+ |# {6 l2 h/ D
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
) j, z2 p" F; P8 g" | "TcpMaxHalfOpen"=dword:00000064 " ~! e% R. J6 g, Y4 n; m5 y
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ( l% W2 C4 X( |1 F5 I2 c" [
"TcpMaxHalfOpenRetried"=dword:00000050 . q$ j* ~ Q" E* R3 h- q# U
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
/ F V; j# O( g$ L 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 2 s/ L% C9 C5 b; a
微软站点安全推荐为2。 4 F6 G+ I) _: @' U
"TcpMaxConnectResponseRetransmissions"=dword:00000001
6 W: q _4 ]) w ^1 z) D* i 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
L% ]+ O' |) F! ?% d$ m "TcpMaxDataRetransmissions"=dword:00000003 $ d b" w3 \4 p& H
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 6 V+ \4 _, I( D: ~$ m0 `9 ~9 E; q
"TCPMaxPortsExhausted"=dword:00000005
$ N `) X( a: q; z/ ?4 O+ I! f6 u- L 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
& H+ s' d: o- m, F "DisableIPSourceRouting"=dword:0000002
& J) e5 v1 a. K, ~# z2 m! ^" j 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' t1 N7 {' s+ ~8 ~) \ "TcpTimedWaitDelay"=dword:0000001e
6 A l1 c8 A* c5 @& \8.如何避免*mdb文件被下载
* G5 f, q" B! {5 u# Z 安装ms发布的urlscan工具,可以从根本上解决这个问题。 " }' k$ |2 [6 q# l/ G0 Z" v
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 # D1 K F+ R/ @! o, T
9.如何让iis的最小ntfs权限运行 6 Q( ]$ _5 t5 g- P$ F' Q+ {
依次做下面的工作:
' M0 |! E& k2 B P: \ a.选取整个硬盘: ) ]. n9 c; y% `& W+ j/ j
system:完全控制
& o+ c& Y8 g5 @8 ?4 I# D administrator:完全控制 5 ~& }4 O/ S- T
(允许将来自父系的可继承性权限传播给对象) & v5 b R+ y" w: u, {, d6 b9 a
b.\program files\common files: ( a6 ~2 k7 o5 m) }* {; h4 W
everyone:读取及运行 : g4 d" W0 R6 r3 h
列出文件目录
1 I8 S/ r, w% P5 t9 | 读取 6 @0 i' `! ~8 z. O8 B
(允许将来自父系的可继承性权限传播给对象)
9 _7 z* E* h1 ? c.\inetpub\wwwroot:
0 j' Q: H& V/ p& Y+ C: l5 Y iusr_machine:读取及运行 ( _5 O3 \3 z, h! C* I
列出文件目录
5 S6 o5 V& l9 Q! M; R" f0 A# o 读取 % h9 l7 x9 _# G
(允许将来自父系的可继承性权限传播给对象)
~+ Y: a: U! t$ c3 T( x e.\winnt\system32: " P" z8 J- Y; U+ ^% l
选择除inetsrv和centsrv以外的所有目录,
* X$ Q+ v0 w3 s$ ~0 B 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 : l) K1 w9 ]& }" X+ X+ Q" P8 s4 S
f.\winnt:
# [# y G$ @! f, {7 y 选择除了downloaded program files、help、iis temporary compressed files、
j' p( H2 j; [7 R; Y( P3 \! \ offline web pages、system32、tasks、temp、web以外的所有目录 8 M( v' \# C* o2 C' Q0 [5 l& A
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
- p0 E$ D! @, U7 w9 G/ ? g.\winnt:
# Y" H. F& G8 G- ^! J everyone:读取及运行 & f& K% I+ P1 m, B4 x
列出文件目录 0 E# f: @$ o2 w( ]# U" n
读取 4 [( o3 Z9 A; B8 L
(允许将来自父系的可继承性权限传播给对象) 1 l6 m2 Q/ R6 [/ m& Y
h.\winnt\temp:(允许访问数据库并显示在asp页面上) ; ]2 e+ B3 ]1 E9 q1 B
everyone:修改 9 k* e* E+ l, l$ u) Q1 S' t, Z
(允许将来自父系的可继承性权限传播给对象)
* p, G# s; t0 c3 ]3 U% j10.如何隐藏iis版本 ! H! H8 F3 s' ?2 f* Q
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
( |6 b$ ], ?4 l1 G7 t" u iis存放IIS BANNER的所对应的dll文件如下:
) m4 M& u3 f, k- _0 A WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
7 O/ v$ K7 Y6 R; J+ e0 q% S) W$ A FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ( W% |3 {0 k }) @
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL ) r% m9 _) N/ P X" M& }- o
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 " C& O# {! m$ k
具体过程如下:
8 I+ b) ^6 F4 R+ s1 b# v5 L1 S 1.停掉iis iisreset /stop
+ C9 X" y6 M1 B% L 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
! \' p# l# G" ?# r5 {, q8 N$ `. ? 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
