|
一位高手整理的IIS FAQ 8 r" k1 Q* i1 |" d7 B
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
" Z. V6 H! @; G! D2 r% ^1.如何让asp脚本以system权限运行 7 G+ e) ~* d \7 h7 B
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ' p4 k/ }) M6 A. N
2.如何防止asp木马
. Q d! y h9 L 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
! E3 y3 I1 }% d. k8 w9 V* H. i1 y regsvr32 scrrun.dll /u /s //删除 . }8 K: S7 [5 l$ F' K+ M9 N9 n
基于shell.application组件的asp木马 3 D3 s9 H5 ~5 @3 D' Y* c1 r
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 8 ?0 h/ G! e! |. v/ M
regsvr32 shell32.dll /u /s //删除 ; b! Z k+ P- m" ~+ ~2 L! h
3.如何加密asp文件 5 N+ p' S" C/ z* C
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 x& p# m" U6 e4 j6 | 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 @: q9 c9 V+ k, i7 t- N
运行screnc - l vbscript source.asp destination.asp
* L8 K' ?6 ^" e% ~. T 生成包含密文ASP脚本的新文件destination.asp $ V1 T/ f8 D6 ~, Y, _. [, D3 y
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
4 y& l. {0 u8 W: [. |; I 但无法加密中文。
: g4 S! S4 m/ K1 U4.如何从IISLockdown中提取urlscan
0 O/ v7 ]. O. r iislockd.exe /q /c /t:c:\urlscan
9 j7 d! }' n$ \4 v+ L& f5 @5.如何防止Content-Location标头暴露了web服务器的内部IP地址
) a/ I( I [. S$ a8 x5 Z: Z 执行 + T r2 k# l! v: V% l
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True & u: W7 w/ u) ?, Q6 r
最后需要重新启动iis # e6 J+ V/ S5 d x* B- ^6 U: E
6.如何解决HTTP500内部错误
e+ n' r+ j5 U4 m$ v9 L; T" \9 E iis http500内部错误大部分原因
l8 R# U- e9 I$ z' U, [9 y 主要是由于iwam账号的密码不同步造成的。
0 {2 W3 M# L7 }1 f; x2 w 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
( G: T: R5 {2 p 执行
2 L6 @2 m7 J( z" { cscript c:\inetpub\adminscripts\synciwam.vbs -v / w/ v$ D1 E' v- [2 d# a, t4 C' P! o
7.如何增强iis防御SYN Flood的能力
) B! o( [1 \1 Q$ K) W5 |, ` Windows Registry Editor Version 5.00 + r5 g- X+ h- _4 \9 I" V+ `
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
6 ]& r' f0 M E2 ~3 ]8 B3 b i; [ 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
: n+ d5 y" ~& k% \ 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 7 {( T, x3 d3 Z, ?" c; d' C" f
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
* ^$ `+ F' D* x3 ?" k) t2 Q "TcpMaxHalfOpen"=dword:00000064
9 d, c9 \/ W! F/ A2 R6 m- ^9 m 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
4 z; \6 v3 O8 s$ p% q5 f "TcpMaxHalfOpenRetried"=dword:00000050 ) d: v1 d$ t- x# z4 L& p
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 # Q" ^, O( K7 Q Z
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
, w1 z! q9 e/ A6 ]2 Y" X 微软站点安全推荐为2。
/ S, v( z- t/ i% U; A7 F9 T "TcpMaxConnectResponseRetransmissions"=dword:00000001
2 @1 e; l9 m" V+ F) D! y 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
! j& _6 N9 ], h, k8 J "TcpMaxDataRetransmissions"=dword:00000003
4 L! l1 a! ~) D6 ~& z8 Y) G( |- ? 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
4 ~5 b& @# ?' M6 D5 E' j "TCPMaxPortsExhausted"=dword:00000005
% j( y! V3 s9 d. {# a 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 . b. A, j+ q) g5 v: X; b6 I* u
"DisableIPSourceRouting"=dword:0000002 , L1 c6 U( r9 ~* b6 J0 C3 T
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 x$ m0 u" J1 p& }- h* R
"TcpTimedWaitDelay"=dword:0000001e
4 ~# E4 q0 {1 S8.如何避免*mdb文件被下载
+ b) D) f3 b8 ^' h 安装ms发布的urlscan工具,可以从根本上解决这个问题。 4 A$ V; C" |, h: e/ ~
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 9 f" q2 r. G4 X; @. h7 }
9.如何让iis的最小ntfs权限运行
/ [" g1 i: m0 s: \ 依次做下面的工作:
' Z$ d9 E" k/ G4 g# }! `' Y! v a.选取整个硬盘:
6 A8 B9 R( m7 l/ _+ W" p2 i system:完全控制 8 C6 e5 Z2 Z1 l. e- f' y5 Z
administrator:完全控制
8 ^4 p9 `, M5 ~+ l3 S/ w% |, o (允许将来自父系的可继承性权限传播给对象) ! p1 P: V8 L2 B6 |
b.\program files\common files: 6 n$ \6 Y9 H/ Z" y% X7 k& h
everyone:读取及运行
! t/ B5 S0 t! c 列出文件目录 * R% \/ [4 ? i, R+ t) K- }9 A
读取 7 X" @, }$ O7 o6 z- k/ i
(允许将来自父系的可继承性权限传播给对象)
4 z. Y; X) e5 t0 n% h) s. v c.\inetpub\wwwroot: 8 \( K; w& p' @2 m- ?9 X2 r
iusr_machine:读取及运行
: ^. q1 m% K5 g# D 列出文件目录
1 Z4 W9 E1 d0 ^4 ~1 h 读取 3 _6 Y) x' b6 J e1 z* I
(允许将来自父系的可继承性权限传播给对象) 7 k) y% D5 ]! X% z$ D" J
e.\winnt\system32: 4 S6 _' ~* r. ~. E8 \3 ~6 n
选择除inetsrv和centsrv以外的所有目录, 4 T2 t2 h3 n4 w2 m5 a
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 / E9 N: w" ~" ?! m* K9 r
f.\winnt:
2 `- p9 ^$ @9 t( }9 l R 选择除了downloaded program files、help、iis temporary compressed files、
5 @, J6 L8 `- r' X0 d offline web pages、system32、tasks、temp、web以外的所有目录
1 c, ?& ` J/ e( I! x' I" i 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ) W( D: \+ p+ i+ h
g.\winnt:
. U/ m. \3 f c everyone:读取及运行 , w- l& E$ t1 Y$ U, Y! b! e
列出文件目录 5 C- H% I% @6 l9 \ j! o9 a3 J7 u. r
读取
! I+ d9 K) y* @ (允许将来自父系的可继承性权限传播给对象)
0 F" ~# u+ |) P2 i- `6 b h.\winnt\temp:(允许访问数据库并显示在asp页面上) h- o7 x. }; {3 e- c7 H5 M! ^; W! l
everyone:修改
5 B0 h, L+ n8 O8 U& z' y8 O' T2 T (允许将来自父系的可继承性权限传播给对象) * \. I9 |. U* N
10.如何隐藏iis版本
' {. S# d& m( Q' b6 B! ]; J. {) X 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
: ^9 F6 ?* e5 R iis存放IIS BANNER的所对应的dll文件如下: : _2 @& ]9 l3 t1 u, e3 ]
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
5 h9 l7 ^6 i! C# h3 c S7 L FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
" M1 V. Q/ k. r* B! U2 ^ SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
7 M% w* o. {3 J( o 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
2 ] ~7 M! n7 I2 x6 J) a 具体过程如下:
) \' W+ h* h7 N 1.停掉iis iisreset /stop ) i0 V( N& V8 o5 S0 r4 h3 u4 |' E
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
, v& q+ o; o3 B3 e) B! b* s5 G2 ]+ Z 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
