|
一位高手整理的IIS FAQ 6 o) a7 E X0 F
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 7 B( r I0 ~% X9 [
1.如何让asp脚本以system权限运行 5 U% T: r8 O0 i' j$ V" R
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
1 r) P7 `+ _5 u" \ e' n2.如何防止asp木马 9 }# W- J7 m% e
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
: a7 c: R! h# A) p regsvr32 scrrun.dll /u /s //删除 ; E4 g- `" p5 |" L1 W$ ?. \
基于shell.application组件的asp木马
1 j/ V" i! r6 U1 ` E( Z cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 2 z `* Q! Y" T# E" M- P
regsvr32 shell32.dll /u /s //删除 1 h( l0 W3 O& \0 M1 m+ o; Z1 R
3.如何加密asp文件 0 l0 | l3 Z/ b/ n( G l1 \) c. Q
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 1 O7 R3 \9 \4 [) r
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
N& M; p. N/ _" u2 x P% r 运行screnc - l vbscript source.asp destination.asp
, S( M _3 {$ O' T 生成包含密文ASP脚本的新文件destination.asp
# T3 j/ |! g- Y5 J! g, Y) t 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* U I" X* I" R3 p. b$ h 但无法加密中文。
0 k, m0 P. N0 o. F4.如何从IISLockdown中提取urlscan 4 [/ h% ~( E, c V- ^
iislockd.exe /q /c /t:c:\urlscan 4 | ] R8 p k: z* ]1 W
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 G2 s5 i- F0 s4 D+ N! l4 m' n
执行 . g; H b, M3 F/ Q
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 9 |# a- }- z6 d
最后需要重新启动iis
3 ~; e% H( ^3 \& \$ R: [6.如何解决HTTP500内部错误
3 c4 D. w: D* f iis http500内部错误大部分原因
) Q( O6 b ^ o) l6 V 主要是由于iwam账号的密码不同步造成的。
) I! P" c# w' _. u0 D5 _ 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
2 v! s$ x- h& Z) S0 M" r 执行 3 |# l3 _% R# n; v+ Z8 B0 @
cscript c:\inetpub\adminscripts\synciwam.vbs -v , U2 G: p" u5 |& A3 B3 D
7.如何增强iis防御SYN Flood的能力
9 u: c: c& \1 D Windows Registry Editor Version 5.00
2 c* Q& [" L, k: ^ f [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] / `9 L5 }4 |- P, l% a2 W. m) I
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 7 e! J9 ?' I% v$ N& B
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 / Q) g+ }" q# C$ }0 i+ i0 d: W1 A; `
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ) l2 ~+ S, v" R M* o7 j
"TcpMaxHalfOpen"=dword:00000064
0 j; v2 U* P+ s 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 0 Z# q% q$ J( R6 J- {. E0 g2 d
"TcpMaxHalfOpenRetried"=dword:00000050
/ R/ Y3 h. y8 D 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
& g3 @! U/ d n5 d, o: n0 } 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
+ \8 I( i$ c; z5 z4 c 微软站点安全推荐为2。 0 L' s! E* @( F
"TcpMaxConnectResponseRetransmissions"=dword:00000001 * o+ B) k5 a# ~( G
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
1 Q! }& s3 D) @) X7 b2 ~1 ` "TcpMaxDataRetransmissions"=dword:00000003 - i& f1 v% b% o6 r* a3 J
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 ( v h' F$ |. [ {
"TCPMaxPortsExhausted"=dword:00000005
$ g- m# J( T4 C 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 & h% P; m5 i! |
"DisableIPSourceRouting"=dword:0000002 / i7 d* i& Y0 i( u; G+ t/ ^1 ]
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 " s! p% e1 ]2 |% ]+ G, r
"TcpTimedWaitDelay"=dword:0000001e
% T: {2 K) `$ d) \# g& ^3 S8.如何避免*mdb文件被下载 / A5 j3 E- I" B3 \
安装ms发布的urlscan工具,可以从根本上解决这个问题。 3 u `6 M& g4 }% c) a
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 # k& {9 h! r7 s6 i6 m. b
9.如何让iis的最小ntfs权限运行
4 ?1 O2 q$ g# n+ K4 c o" d 依次做下面的工作: ( Q1 E( F( h6 I% }" i
a.选取整个硬盘:
, N& p: [* D* i$ a/ s system:完全控制
+ d4 X' c; {; d' W administrator:完全控制 * z9 C3 n& o3 A$ x7 U9 j. A
(允许将来自父系的可继承性权限传播给对象)
5 \3 ~# M8 o7 N9 v7 p* a b.\program files\common files: + y* v8 _9 i# {
everyone:读取及运行
' R. d X- X0 b4 {& ] 列出文件目录
; @8 ?7 _& z; a7 \; Y; P% d 读取 3 Q" ?; K$ b% r7 P
(允许将来自父系的可继承性权限传播给对象) ( h/ V9 M! O o8 F4 C& }
c.\inetpub\wwwroot:
+ F, q, R* Y) b, C$ k" A- W; {/ } iusr_machine:读取及运行 $ N* @% T* e: R3 D
列出文件目录 # x! X& e, ~4 `" c: {1 E
读取
! c( N2 K3 M! R% ]! t (允许将来自父系的可继承性权限传播给对象) + e( X+ p) ~4 |( L" s/ _
e.\winnt\system32:
1 C8 D7 P6 N7 K* d6 t 选择除inetsrv和centsrv以外的所有目录, , f% Z7 \- t2 L+ s; O2 \0 [$ O
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 4 a, c0 f& A% k9 M; W2 o0 b
f.\winnt: ; B3 e$ \' G+ z
选择除了downloaded program files、help、iis temporary compressed files、
& N- S5 `% |% q3 F, n offline web pages、system32、tasks、temp、web以外的所有目录 2 Z3 [( f8 F; b, `7 f
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" O* g: m! o& i7 p2 w g.\winnt: $ d1 S/ \8 u2 k3 E$ M+ [
everyone:读取及运行 $ y+ C1 u# F" b- P8 ?+ U5 c
列出文件目录 3 n& c* m: I5 _* P% ?
读取 0 D) h% { r% g$ B. c# Z: {3 n
(允许将来自父系的可继承性权限传播给对象) ; t! B# O1 o) @
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
3 t8 v! [# v2 ^! C ? everyone:修改
& }* X: D* T5 C2 Z R" ]1 M- t (允许将来自父系的可继承性权限传播给对象) # l6 p( ]3 H6 \( z! v" z' ~
10.如何隐藏iis版本
" ]1 v' l, t# H+ u! V4 Y 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 : D; e- m# r. |: x
iis存放IIS BANNER的所对应的dll文件如下: % ^# c% v& E' u5 D) C8 v0 x
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
' t2 T( U3 A5 R3 w FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL # h; \$ w5 k: j; J+ O% X h
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL % s7 p# n) f0 i. y4 _
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 . v- A; {0 v) v- C# z
具体过程如下: " Q+ p( s7 l0 [6 u0 z
1.停掉iis iisreset /stop * P' D1 w6 j7 Q& m2 I1 v
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 4 J; i( _6 S9 H) z3 L
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
