|
一位高手整理的IIS FAQ * S* N" T* z3 V3 n
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! ) w3 ~ ]1 b4 G! u) O, e. e5 k% t
1.如何让asp脚本以system权限运行
6 [+ H$ }* H; s( E3 l3 D O4 h 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ! I6 o4 z) M& K1 V$ q3 x' v1 O$ b7 f( u
2.如何防止asp木马 : J% E) \6 h1 g- J) ?
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 8 C; A8 b* X; Y1 L! I
regsvr32 scrrun.dll /u /s //删除 ! U3 v( R) `- y. v- x
基于shell.application组件的asp木马
" {. X/ h1 e8 K/ y+ ^7 } cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
( j' ?: M: p( Y* r% S/ o8 b+ R regsvr32 shell32.dll /u /s //删除 ! ^6 l' y4 q5 E& U; b* o
3.如何加密asp文件 / j' q* H, o: W6 t _5 i' G; T
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ) M3 g" C" B* F) H* \9 J5 f: i
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
# E. m! H, k! d! v" v! Q) U 运行screnc - l vbscript source.asp destination.asp ! u# m7 E0 H+ h" {1 ]4 h
生成包含密文ASP脚本的新文件destination.asp E0 @4 \3 ]$ G& Y1 ^% D* h
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 % g! m( m+ q+ ^
但无法加密中文。
7 U& f/ Q6 d1 c# w: b3 X' t4.如何从IISLockdown中提取urlscan
. z5 E; z4 i" S( l& T3 U6 u7 V( [ iislockd.exe /q /c /t:c:\urlscan . }- k) r$ V* m! P5 k5 k1 p2 K
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 + E6 t; K) M( o L* t8 x& g
执行 % x. |; ^- G8 Z% p
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True , f8 N; _5 h$ b- |7 s- w, v' ?
最后需要重新启动iis
( e. y% M7 o6 k3 |6.如何解决HTTP500内部错误 * S0 e/ _- w4 C$ J: ?% D( j
iis http500内部错误大部分原因 C- I/ H, }5 z# x4 L+ e9 j2 v
主要是由于iwam账号的密码不同步造成的。 * \. r+ c( K3 Z' g! T& C
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 6 o0 d8 b$ N2 \- y) D# T2 Z. z8 f
执行
& x- @9 Q. E4 @6 R/ W cscript c:\inetpub\adminscripts\synciwam.vbs -v
d% d) k% v7 G r' s7.如何增强iis防御SYN Flood的能力 % u% G) |+ x9 y: {, x) v8 a2 R; }$ V
Windows Registry Editor Version 5.00 1 W$ t9 N+ ~1 y y2 H0 {( T! b, m
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
; a$ A+ w4 e3 S' s! E 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 ; L1 W8 |3 w" J+ |+ P% P3 l
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 % b. ]% ~8 c8 C& k9 W& X
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 & w5 H$ o# \# Y+ M0 h1 ]7 `
"TcpMaxHalfOpen"=dword:00000064
+ T; X/ }7 o2 b% G 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ! m- a X, R. L) o; \6 c& K# c
"TcpMaxHalfOpenRetried"=dword:00000050
8 m$ N r% O5 G, G' e1 F8 z 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 9 R: L( T6 R( M
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 6 g' P$ Z9 `" p7 d6 J w1 `8 Q
微软站点安全推荐为2。
; e/ s5 z( J9 J$ U% n: W J4 _0 x "TcpMaxConnectResponseRetransmissions"=dword:00000001
& O6 @* |) L& S3 Y: y- v; Q 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
6 m$ `( {5 h& @ "TcpMaxDataRetransmissions"=dword:00000003
' z% I5 f J( G9 O 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 3 Y+ i& D% U: v' A9 K$ J7 z7 k
"TCPMaxPortsExhausted"=dword:00000005 1 v9 @/ f$ ?: d- g
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
, y7 g% W' R+ U "DisableIPSourceRouting"=dword:0000002
8 A4 {$ G8 `) \- \* T" K! T 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 , n0 Q. W) _& E# m+ f8 E
"TcpTimedWaitDelay"=dword:0000001e , F1 F/ s; J! ?' D4 e
8.如何避免*mdb文件被下载
& f6 H0 ?% h* l6 G 安装ms发布的urlscan工具,可以从根本上解决这个问题。
( j5 g* N0 G s# w# Z6 ], c* } 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
7 u" O& U! q. f9.如何让iis的最小ntfs权限运行
& d5 \2 S R4 Y. j. z: e3 q" i- e 依次做下面的工作:
) M. G1 W+ v N4 B+ ~) ? a.选取整个硬盘:
; H7 K- H( [* Z- x" ] system:完全控制 7 M2 r% I* ^' r n4 v
administrator:完全控制 , c) _: S- ]0 X6 m% c( N" j
(允许将来自父系的可继承性权限传播给对象) ( _. H3 P/ s$ |3 L" X3 K& {
b.\program files\common files:
( E. ^7 v7 c1 r1 b7 p+ i everyone:读取及运行
' Y2 | b. J$ w" Y3 f7 k: | 列出文件目录 ; E5 @* ?. e0 L9 l7 U$ R x% ^$ Q
读取
) } J9 M3 W- } H/ M1 j6 u (允许将来自父系的可继承性权限传播给对象)
1 N0 }2 N% |' t% Q. a% F, g c.\inetpub\wwwroot:
( c% h( L8 L6 |$ j iusr_machine:读取及运行
: b' j9 o9 B# [8 i! c* t4 M 列出文件目录
1 I8 ?7 \4 z" |. }. K 读取 9 a _1 v+ l- v& g n
(允许将来自父系的可继承性权限传播给对象) 2 o5 [9 b( {4 ~6 q% m
e.\winnt\system32: 1 j' M, C# `" q, A" ~
选择除inetsrv和centsrv以外的所有目录, ! b3 ^& ^2 z% W. X: h
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ F5 M, }6 T% U5 ^ f.\winnt: & ]2 n1 ^7 j$ Q5 u0 X: {. F
选择除了downloaded program files、help、iis temporary compressed files、 ; `8 P& j; L; c& u9 j& \
offline web pages、system32、tasks、temp、web以外的所有目录
9 }+ H& e* ~$ q1 D1 S! g 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; j8 Z7 S7 F* M: P9 r; Q g.\winnt:
9 ^- J- X: f/ T5 f everyone:读取及运行 0 A9 |6 P$ X$ z+ R5 ?3 S8 ?7 ~
列出文件目录 : Y+ D- h% p( Q1 s4 f
读取 1 Z! ~2 N6 |. Z4 y! L& I+ W
(允许将来自父系的可继承性权限传播给对象)
1 Y/ y/ \- j% G) |; Q h.\winnt\temp:(允许访问数据库并显示在asp页面上)
/ {9 d& [2 o. p x- L" t2 Y everyone:修改 1 J5 A3 c* g& p) r, P5 {2 B+ k
(允许将来自父系的可继承性权限传播给对象)
. K/ z9 a, r: N/ |, y10.如何隐藏iis版本
! d# x& M6 b! j+ ^2 b, w' O6 J 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 G* C" [ k0 w5 w# G, I iis存放IIS BANNER的所对应的dll文件如下:
3 b. \0 O2 e5 w) C. k; ^8 R WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
9 B& L9 d$ h0 x& E7 l" i FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
3 q9 L- l7 `% s( U+ ?4 v8 W SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 7 x1 }& ?% B' z7 i
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 8 {, _/ r. Q% ^+ e, j+ Q
具体过程如下:
( Y# T! [# Z2 n1 @2 d) V7 K 1.停掉iis iisreset /stop
. F$ V4 f0 M% A5 w c$ L 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
2 O3 y; w( n ~' X 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
