|
一位高手整理的IIS FAQ : S3 R" d: m( i, E' A0 J6 ^ F
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
' ~3 e' h9 x8 z1 g" V1.如何让asp脚本以system权限运行 ! e ]1 x& }, h* X" g
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
# q( K) V3 ]" ]+ S; a* T8 Q$ ^2.如何防止asp木马
p( Z+ Z& F2 p 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 2 g9 f3 s- m! g* r- B
regsvr32 scrrun.dll /u /s //删除
& } z- ^8 \- [/ P" e7 k0 U1 ] 基于shell.application组件的asp木马 Z: X5 e2 O1 F: I
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
1 \8 n+ ^; B7 b- {4 K0 `+ V regsvr32 shell32.dll /u /s //删除 ! d* C: G6 K5 f& F8 V$ Y
3.如何加密asp文件
4 l5 C+ f2 ]+ N8 |3 w) q2 s 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 8 ]7 p* S$ r; K' v) u# l6 }; P
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
5 p( v0 z& P A9 d! ` 运行screnc - l vbscript source.asp destination.asp ( `. `) U* |& \, R
生成包含密文ASP脚本的新文件destination.asp - [) k# ~1 G( w2 g, z) X% F: y
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* M5 Z0 {/ L$ l' T+ n7 L# t/ X 但无法加密中文。 3 q1 f- o8 d, v, e$ R0 S T% l' s
4.如何从IISLockdown中提取urlscan
5 E! \1 u" k0 l- P3 y# n' z iislockd.exe /q /c /t:c:\urlscan
6 N0 G+ L- P" Y" `" q$ ?" `) }* I5.如何防止Content-Location标头暴露了web服务器的内部IP地址 + z& P) b* R/ f& F1 A" E& E2 J- d
执行 . u& a- P; b, G* q
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
+ a( X$ q5 Y7 V4 I" p' q% a 最后需要重新启动iis
. R. O+ U2 B2 t% V3 H+ E6.如何解决HTTP500内部错误 2 D! B3 k' L) ]! |- w
iis http500内部错误大部分原因
, m1 T8 F8 G6 L4 e$ A4 M" F 主要是由于iwam账号的密码不同步造成的。
! {+ B* N3 O9 f, E' h5 p y) W 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 # A6 u, C& [6 F4 e* V% D* _
执行
4 l) r9 }$ T6 F3 T4 E cscript c:\inetpub\adminscripts\synciwam.vbs -v l/ V' _2 z5 r1 n
7.如何增强iis防御SYN Flood的能力
% ~6 `. x$ [/ ?( y4 ^* n Windows Registry Editor Version 5.00
* O# H/ B2 Z& g+ G4 ^8 G [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] * {/ n" q& c- b, p: V
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 ; i% D$ G$ h s' w' h) z* |
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
# c- \( R6 i" G, `" l0 f% c "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 $ G% _, a8 X! m' l) x9 ]% j4 ~# z p
"TcpMaxHalfOpen"=dword:00000064
0 W- c) K( f- m8 ~# x r" L) i* l 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
/ o9 @, \* u) s "TcpMaxHalfOpenRetried"=dword:00000050 # u! d, Z! k: _; ^( y3 }
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
1 l( h A' z6 a& F) r! y 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 - g' ~' n. [6 @2 U0 [
微软站点安全推荐为2。 3 a3 b/ [% d3 ^9 R/ D& D y7 s: t
"TcpMaxConnectResponseRetransmissions"=dword:00000001
# o8 x# L, ~ r4 G7 {3 b# S 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
% M) r; j* V+ d "TcpMaxDataRetransmissions"=dword:00000003
- e7 A% t' X3 M4 `: s# ~ E# L/ Y 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 2 Z9 h; u4 j% s* {
"TCPMaxPortsExhausted"=dword:00000005 / \# M* J; b t+ K. n# Z- Y& K3 B
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ( R6 r0 ~8 @: G
"DisableIPSourceRouting"=dword:0000002
1 U( l% {# T+ v 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
0 K" o" s9 g; L2 F "TcpTimedWaitDelay"=dword:0000001e ! e0 {' h% s& P: t
8.如何避免*mdb文件被下载
}3 F/ j' B4 ^+ h 安装ms发布的urlscan工具,可以从根本上解决这个问题。 2 Q6 J1 J! y+ v! Q5 p
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 J: \* j* U* r- K4 A) |, @+ t
9.如何让iis的最小ntfs权限运行
* x: B9 b; P" g1 U& x% T 依次做下面的工作:
! l- k I" I D3 G9 g a.选取整个硬盘: ( l; i' D6 m+ Q7 i) ]* E, Y7 T0 u
system:完全控制 ' o0 R4 Y4 Y. y5 s
administrator:完全控制
' O- e& \0 Q7 G" k2 \$ f1 l8 Q q (允许将来自父系的可继承性权限传播给对象)
" q( k0 p0 [7 o0 c. S1 \) s b.\program files\common files:
; V+ H8 k3 @+ s1 _ R& ^; b everyone:读取及运行 t* V7 @* t8 x5 Y. T: m1 i J
列出文件目录
) I2 A% g; M% m% O8 S: e 读取
. ?; E; N3 Z3 p. J0 n (允许将来自父系的可继承性权限传播给对象)
: Y; s. ]$ d: F c.\inetpub\wwwroot:
5 o% }. i3 A1 b4 c {1 k, h iusr_machine:读取及运行
; @- }* \% U! s0 V 列出文件目录 0 G- t1 B/ j0 o+ G& h, Z
读取
. {# L# e3 a; V8 r' T) Y (允许将来自父系的可继承性权限传播给对象) " l" F( O# G$ M' q4 b
e.\winnt\system32: / ~3 ^2 E: O/ n% J1 y
选择除inetsrv和centsrv以外的所有目录, 7 V0 f% G, A0 A1 h
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 $ r4 j1 m$ M1 d) H8 u& Y( S. q
f.\winnt:
8 D6 J2 C8 P- z0 G 选择除了downloaded program files、help、iis temporary compressed files、
7 `. h( q o2 ~* s2 U offline web pages、system32、tasks、temp、web以外的所有目录
3 \% G ~4 q& ^$ l$ ?% x. b, m7 K 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 6 o: A6 M& r* h! N# T( n" S- }
g.\winnt: . {2 a8 k, E5 W6 S2 ?
everyone:读取及运行
- ]- d# ^! D( D/ n: E 列出文件目录 " T+ p+ a$ b7 a8 ^ m
读取
" w7 G& m6 p7 z9 X5 l; k (允许将来自父系的可继承性权限传播给对象) + i/ W ^8 z4 w) K5 F
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
9 F, I$ G2 t! D0 j R everyone:修改 8 C: t, i/ `/ i* ^
(允许将来自父系的可继承性权限传播给对象)
. G% T7 L: q" q [3 Q- g) y" x10.如何隐藏iis版本
& n1 S M7 {' k 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ p; r/ l2 E" Z( w iis存放IIS BANNER的所对应的dll文件如下:
- k. P( P0 A/ r, a \. G9 `, J WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
+ y3 L( _; E( ?# n l7 o FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 4 M+ N2 Q- b, l3 x! h1 V& p
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
6 V9 i7 r) O7 x+ k5 P" ~% l" }# ^ 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 & \( a7 W$ W& O, L7 E
具体过程如下:
9 ], E* v* D$ p. m( p9 T: D6 n 1.停掉iis iisreset /stop
; B! m2 A' E5 ?7 W& L& B+ k 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 4 @/ U' ]3 ?: ]1 J
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
