|
一位高手整理的IIS FAQ
. h5 L. O1 N4 U下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! " S( d ~6 Y" B7 r4 o8 K
1.如何让asp脚本以system权限运行 * w6 Y2 }! D) C4 R* G' ]2 d
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ( S e: v7 p+ e6 d
2.如何防止asp木马
, u: k. x% ?+ ~2 B) n 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 4 E! ?% \: U9 o6 C3 B6 }+ u, o$ ]
regsvr32 scrrun.dll /u /s //删除
]" ?/ m& N( h8 `2 P/ k- c 基于shell.application组件的asp木马
1 f. M' M9 X9 Q7 h m5 E2 ? cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
6 x" G Z' O& L) f regsvr32 shell32.dll /u /s //删除 . B0 ] H. ^9 n, }7 T n2 \% n
3.如何加密asp文件 ) @* G3 m% d5 j
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
! Z0 K! X( L, N+ z+ Z$ ] 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
% k9 {1 N% E7 B( L r2 `- ^ 运行screnc - l vbscript source.asp destination.asp ) C" `, l; N5 x- V: q$ K$ p
生成包含密文ASP脚本的新文件destination.asp
1 R0 R/ l) R) q6 M; P 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 , E g3 D9 y% V# _! M) W
但无法加密中文。 7 v2 P Q, Y( o: g
4.如何从IISLockdown中提取urlscan
" h% V# j' U; ^# ?& o* b! B iislockd.exe /q /c /t:c:\urlscan
! w; G* K# ^: K2 B% A Q- Y/ D/ B5.如何防止Content-Location标头暴露了web服务器的内部IP地址
8 G, W7 \. e" E9 C 执行 4 |% B& q$ v) K5 V8 @8 P
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
/ j9 V0 w6 B/ s9 \ 最后需要重新启动iis
1 P, _" x! _6 i: p7 \) Y2 @6.如何解决HTTP500内部错误 ; ~8 l8 t, R' Y( L# z( C! D
iis http500内部错误大部分原因
, X: L& @' E3 i4 ~% q 主要是由于iwam账号的密码不同步造成的。 ! d: r* _+ g' E, ]+ j0 l) E
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 / }/ K s% t: j7 [! { K+ ]! U W
执行 1 P( D7 `' E! h; x6 J# s+ V
cscript c:\inetpub\adminscripts\synciwam.vbs -v : Q- f2 s+ w/ ]; k
7.如何增强iis防御SYN Flood的能力
0 y3 [+ T# B# l5 c4 K$ G4 K Windows Registry Editor Version 5.00 " b$ r4 R1 q8 i& L8 o
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
1 a9 I; p8 O* e6 f" z/ @7 T; ~ 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
$ _/ B, [3 z/ G4 x 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 |! z2 q+ ]4 m' Y "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 $ k, u2 z4 P0 N8 S/ y2 R2 n! }9 [& d
"TcpMaxHalfOpen"=dword:00000064 ; L: @/ Y: O3 l/ o& ?
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 5 e& w: G3 s" R, w7 t
"TcpMaxHalfOpenRetried"=dword:00000050 : W# E9 ]; u0 F d
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
5 a# y3 u1 X. H* A% M 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
" E+ V" M" x f2 u 微软站点安全推荐为2。 ! b3 E# j$ f% d( T4 Y) _
"TcpMaxConnectResponseRetransmissions"=dword:00000001
- P. r& ^" M+ I( ~) W* I# S; U 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
; c- f1 i( }9 w4 s "TcpMaxDataRetransmissions"=dword:00000003 % ]4 z) `% g' w7 u# B1 \4 k
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
9 G& ^6 P% G# m. P3 B "TCPMaxPortsExhausted"=dword:00000005 ' Z ?- p8 N# ^3 J h m
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
/ N, H' T+ R6 p; @ "DisableIPSourceRouting"=dword:0000002 L. A7 c3 ^4 _* ]7 }
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 % E% l7 @% A: f
"TcpTimedWaitDelay"=dword:0000001e
2 q5 A7 N, l; u$ U8.如何避免*mdb文件被下载 5 l3 T9 R6 ]/ Z/ x' @: M
安装ms发布的urlscan工具,可以从根本上解决这个问题。
1 k+ A+ i$ |% C* ]: S3 c 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
N" {% S5 i% v2 ~9 V5 K* U9.如何让iis的最小ntfs权限运行
( }$ C: R4 u: U4 W; `; p3 I! p5 z 依次做下面的工作: , t% K" E# _$ J1 W
a.选取整个硬盘: ) ?7 |; D2 A) }
system:完全控制
3 c2 F- k& V9 F4 m5 k1 L2 s: ]* G administrator:完全控制 , v9 x/ L7 I& o7 S: v7 i
(允许将来自父系的可继承性权限传播给对象) , J! p O) h5 {7 N/ G' I
b.\program files\common files: 6 m- B: G4 e5 q
everyone:读取及运行
) f+ @- f/ Q! t0 e 列出文件目录
9 R$ S* N) X# Y, T+ S( i/ O. G 读取 . j" ~4 [5 g& U4 f$ u E) \" ?- E H9 ]
(允许将来自父系的可继承性权限传播给对象)
+ s/ H* G9 E, R c.\inetpub\wwwroot:
6 t+ s9 O' Y5 f+ J: ` iusr_machine:读取及运行
4 j/ M# r5 @+ r/ W* b) C 列出文件目录 : t% h8 N! ]# Y
读取
& q! p0 s! p% L# c (允许将来自父系的可继承性权限传播给对象)
* R$ z- D4 {7 F- n e.\winnt\system32:
0 L" n7 S5 c7 O! M j, {& x9 { 选择除inetsrv和centsrv以外的所有目录, ' O* W. N2 t* k* f6 O$ z
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 9 G I7 x( M8 k$ Q* a/ O
f.\winnt: 8 b) u8 c0 J$ i. B) I+ \
选择除了downloaded program files、help、iis temporary compressed files、
5 Q4 N+ b& ^2 E offline web pages、system32、tasks、temp、web以外的所有目录 ' W4 \+ n. ]5 ?2 k
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
]! B, r6 C% [1 m g.\winnt:
9 u2 k" q; \6 {& Y$ n. F& k: n everyone:读取及运行 " C0 M! Q1 Z$ t, e/ _$ b7 x
列出文件目录 8 T0 Z8 q, _( l0 \1 M
读取
$ f& c8 T/ z' l: B (允许将来自父系的可继承性权限传播给对象) ! Z4 _& v2 D% h8 t e- q, c
h.\winnt\temp:(允许访问数据库并显示在asp页面上) : }8 n w; p* e) Q0 m) k; k! e
everyone:修改 6 a' R: g6 `# A* p8 V9 |! ~/ u5 f
(允许将来自父系的可继承性权限传播给对象)
0 F+ z6 a) e: R: } _10.如何隐藏iis版本 / F6 H* L- L; E4 K& z* ~1 p
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
' C/ K4 S% D$ P# q# Z$ x* S: r* d iis存放IIS BANNER的所对应的dll文件如下:
7 g8 e- d+ D7 I$ n: |( [: k WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
$ {8 S( n6 k8 X. O9 T% w& V8 s, s FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 4 J! q ?; ^, E
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL $ _; K8 ]0 ]: h7 M- o) w- a
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
% u G# P- i7 B% D 具体过程如下:
/ G- q. N8 `: A, W% y 1.停掉iis iisreset /stop
4 W" Z, \, g4 G8 v2 c3 o7 y 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
" }8 d2 ?# P+ `+ h6 b/ N# K4 h6 S0 j 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
