|
一位高手整理的IIS FAQ
; b% {, n% g! [% z/ }, r. a* u6 j下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 6 \" @ s$ s4 ~4 A8 Q4 L
1.如何让asp脚本以system权限运行
( `( ^6 S$ v4 |6 K* o 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 q5 x( Y/ C2 S2 t' ]- ^' c2.如何防止asp木马 2 A' u+ \3 b" k( `, f3 d9 v
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 ) Q/ ^5 S J* b$ e
regsvr32 scrrun.dll /u /s //删除
' M; E: e! R F3 a 基于shell.application组件的asp木马
9 x% b: s7 `+ A# c/ p cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
8 e! L& l6 h6 |( j9 G* X* P; s7 A regsvr32 shell32.dll /u /s //删除 & K( T% K. | ~" S: D
3.如何加密asp文件 5 d9 U5 z$ o) s5 G0 B& m4 b+ O" Z! Y
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
+ u2 n& Z! [3 {- i 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
3 a) [- ], p8 J l) w' _, W- W) d. P0 N 运行screnc - l vbscript source.asp destination.asp * D7 C) i1 [% v2 Z7 U" @8 U- W
生成包含密文ASP脚本的新文件destination.asp - d6 ^ P P* y
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 3 T g4 S8 J. r- t
但无法加密中文。
; B( H2 s- S+ P" T4.如何从IISLockdown中提取urlscan & c9 ^: \( o% m5 n# u! k4 M
iislockd.exe /q /c /t:c:\urlscan
- `3 r0 M* |; _! @( a1 U5.如何防止Content-Location标头暴露了web服务器的内部IP地址
% n3 M' s1 ~% }8 z# D! y 执行 / A- \9 n' i; ?, R Z+ M
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
% V, a0 K8 x/ x; a8 d 最后需要重新启动iis
! [' ^" Q8 C r; F6 ~4 N0 R6.如何解决HTTP500内部错误
; M- v& r9 t% T4 H% a% V" r iis http500内部错误大部分原因 7 w* O* b) v: y; S5 `, \ Q
主要是由于iwam账号的密码不同步造成的。
% X! s7 F+ g) y2 s. v9 r 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" F7 m& _: a3 R8 [4 F 执行 4 K- i5 c* N, J* H. T/ v' \: c6 h
cscript c:\inetpub\adminscripts\synciwam.vbs -v
% w9 K3 j# V7 o4 d+ x8 g w! c7.如何增强iis防御SYN Flood的能力 ; F8 q( z) s3 F2 `" s, x
Windows Registry Editor Version 5.00 2 D2 G, v* J- |, `! \
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
& ?8 C! }1 w$ X t( o 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 - l' ?$ f' E- \" Z. b8 \: `1 t4 W
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 ]# T7 F% d* H7 ~ "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
3 o) }- I) y5 `- y "TcpMaxHalfOpen"=dword:00000064 ! m2 @/ W# G* }1 N7 |4 q
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 $ e0 M& ?9 N5 {9 V+ g4 a
"TcpMaxHalfOpenRetried"=dword:00000050
6 M2 C9 E9 v- W, q( m& N% b' S; A- `1 l 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 & | }/ h3 C* H5 H1 g5 |
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
/ z( c* W/ C4 |8 d( z; e: h+ B) s6 N 微软站点安全推荐为2。 , N) F/ H. t5 r/ ]. Q, x1 J
"TcpMaxConnectResponseRetransmissions"=dword:00000001
+ R9 V! \4 E U0 r$ T 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 8 O! M- [/ @8 Y; n$ g
"TcpMaxDataRetransmissions"=dword:00000003
# s0 s; \6 g7 `1 r6 f) \ 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 - \: g+ V) H. K4 h( c+ v7 D& [
"TCPMaxPortsExhausted"=dword:00000005
8 c! N- T% {- j/ f; j& z: X H [ 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
& m6 X8 l' F# H- f "DisableIPSourceRouting"=dword:0000002
6 p$ ]5 p' ]4 t2 |/ K 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 4 A+ }) s+ U) U2 [2 G8 Q
"TcpTimedWaitDelay"=dword:0000001e / @$ a* P% t9 R0 T
8.如何避免*mdb文件被下载 * i. S7 p- N6 X" C) i8 K4 Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。 3 j+ A0 Z$ v6 g9 W, h5 B
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 , _) _$ V3 x2 B4 x) z4 r, |) Y
9.如何让iis的最小ntfs权限运行
- i8 v0 Z+ M( \( c0 _: ? 依次做下面的工作:
$ V- |- e1 e* r7 h# J- V a.选取整个硬盘: 6 l; W5 v6 d) W2 p
system:完全控制 * _2 q# s9 _2 F. }' _. H8 i
administrator:完全控制 & w n2 t; X' [
(允许将来自父系的可继承性权限传播给对象) ) C% T( d- \" a" i) f7 p. v
b.\program files\common files:
8 x! h+ U* l5 y& E( ? everyone:读取及运行 ! k* e! e/ L" L
列出文件目录 & R; D# p V! r: T! U3 z, C. B
读取 + N% h' x7 |, g! u1 y
(允许将来自父系的可继承性权限传播给对象)
: D+ j4 D2 K# O5 h c.\inetpub\wwwroot:
9 t' W( p0 R! Q% \ iusr_machine:读取及运行 3 r& U; U- I" J
列出文件目录 ! B' p8 Z, u/ i/ L+ v
读取
, k7 B B8 t7 X: ?0 l (允许将来自父系的可继承性权限传播给对象) ; {1 C- Q" _/ k% k9 |% S/ m# l% K7 ~
e.\winnt\system32: . M8 Y& Q' e$ z4 f9 h& \) i
选择除inetsrv和centsrv以外的所有目录, ; D& j1 d& C% M/ D6 i
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 + f8 H8 P7 w- T9 K
f.\winnt: ! P+ X$ _8 j9 K- d
选择除了downloaded program files、help、iis temporary compressed files、
n* k# k9 }8 g% r v2 z offline web pages、system32、tasks、temp、web以外的所有目录
: }6 a. k1 }! U" [% c( W$ q! h 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
{1 u7 X8 ~3 D9 _3 b g.\winnt: * Y% u& s, v/ u9 N( M! J
everyone:读取及运行
) n) C, J& H9 M0 g8 F 列出文件目录
I% ^7 ^3 ^7 g( l) L9 N 读取
- l: R% a+ s. J1 U8 _! j8 \ (允许将来自父系的可继承性权限传播给对象) 2 I; y! U4 z$ X- O: Y6 t, _0 _7 o
h.\winnt\temp:(允许访问数据库并显示在asp页面上) : j* l2 X1 o: U" _. a
everyone:修改
4 F$ ~6 H* M+ @" W7 V (允许将来自父系的可继承性权限传播给对象) 6 |9 G4 j+ r- _. [4 @; F8 R
10.如何隐藏iis版本 : O8 s+ W& K- Z3 f ^( \
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
1 i4 [6 S$ x b' W iis存放IIS BANNER的所对应的dll文件如下: - `7 |9 Z& v% @: x3 ?2 Z
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
* @7 @$ ~" v" b0 v% X+ ^9 M FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 5 k1 u. c0 L6 _
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL $ F- R+ e5 H6 W% m! e5 x* T
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
1 A, F( d% I6 @9 n" ]6 F; E6 x 具体过程如下: ( Z2 `4 F5 p5 k0 w, L- h! o) K
1.停掉iis iisreset /stop 1 a/ m+ s3 J! n: ?
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
' J- J" _/ U( D8 D% k5 t( W! m 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
