|
一位高手整理的IIS FAQ
3 z6 }9 u5 h3 p9 H5 a2 Z. g下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
, f2 w; b% G% M- t4 V6 \! r- U1.如何让asp脚本以system权限运行 % a0 X# c* C% x9 r. Z. _
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... # w( {6 p/ H$ T+ J- {% n
2.如何防止asp木马
+ Q1 K& ~7 U8 p$ ~) @# N 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 + x$ V! a( d5 V: p$ J* b9 }
regsvr32 scrrun.dll /u /s //删除 ! m( n, T& W$ A
基于shell.application组件的asp木马 + h( a1 i) ?' A( W+ {* ~
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
/ v7 g" i6 j) F& f7 J regsvr32 shell32.dll /u /s //删除 7 Y( V* q! a9 k5 `/ O/ I. [
3.如何加密asp文件
' p6 u/ t0 O& w- }5 i 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 ]% M0 ?# k ^ 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 & _ c }# V2 j
运行screnc - l vbscript source.asp destination.asp
: n) v$ p/ E/ W" ]( {2 M' h/ R1 J' R 生成包含密文ASP脚本的新文件destination.asp
0 G* k* G# `9 G: s" R$ a6 k7 R 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 . W3 o& {8 Z! N1 _
但无法加密中文。
1 x0 a, V+ ~7 G9 B& D0 W4.如何从IISLockdown中提取urlscan . y3 U7 O% I/ E6 i# M
iislockd.exe /q /c /t:c:\urlscan . O4 I9 `8 d. }1 A( z1 ]+ P
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
. \5 \) s" G1 h& Y 执行 & c4 x" k4 w, a% q
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 0 D3 X- }# E! S* X+ I `
最后需要重新启动iis & M/ D5 d! D+ b G6 @
6.如何解决HTTP500内部错误 - D' i; c7 F! U) c
iis http500内部错误大部分原因
$ _% j( p9 p2 _5 M$ c( C( H 主要是由于iwam账号的密码不同步造成的。
* P4 d! ^1 s# `+ j$ J 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
4 t6 C9 k, c9 ?* K0 \ 执行
: E t; p$ C! s% F% i9 T$ e cscript c:\inetpub\adminscripts\synciwam.vbs -v 0 d4 Q3 o: k# \7 u
7.如何增强iis防御SYN Flood的能力 _$ a% G% [+ t' L9 A9 W
Windows Registry Editor Version 5.00 ! A* U0 T2 @, p4 N# q! {- g
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 2 ~/ n! n1 G* c6 W0 f3 M
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 7 b. ]- {! ^. @4 I
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 7 }0 U! C1 l4 l+ b6 x
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 % L+ O8 A1 C: i0 K$ t
"TcpMaxHalfOpen"=dword:00000064
) p/ j0 x ^: O* [+ F4 ]0 }9 f! c 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
+ }& s& o4 c4 ~. |: z/ x& U "TcpMaxHalfOpenRetried"=dword:00000050
- z; e$ y$ p9 f, _' y6 `( G 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ' r, d. |& k2 @; t; q
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
1 Y' j8 F8 } u$ H) x1 G; Z 微软站点安全推荐为2。
6 l. v+ Y9 K E! q: j "TcpMaxConnectResponseRetransmissions"=dword:00000001 1 ` _1 b3 N3 M' P9 v, n
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
0 O. Y6 y; ~ X$ y "TcpMaxDataRetransmissions"=dword:00000003 5 M" k# F& l& J: L4 j9 @6 u
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 ! `' E5 o) j" H# {( N( ]& H
"TCPMaxPortsExhausted"=dword:00000005
D/ E& D' _% s7 l9 l 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
' {5 W4 ?' G7 D: @& O; g "DisableIPSourceRouting"=dword:0000002
( H9 ]; F0 a }8 C( f* C 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 8 c" x7 A! ?- b9 T! Q
"TcpTimedWaitDelay"=dword:0000001e
. w5 B( y* {) ]" o) A8.如何避免*mdb文件被下载
" a' Q* L7 ^/ ?4 ]& s, Z% J. ` 安装ms发布的urlscan工具,可以从根本上解决这个问题。
! k5 P: O- b7 n 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
Z9 k- M# J% R+ s9.如何让iis的最小ntfs权限运行
) q: E7 G) d' C J* u8 i, [5 o$ R 依次做下面的工作:
) F) F! H8 h# Y: K, U a.选取整个硬盘:
: E3 K2 g2 p3 ^" m. v6 v$ B, ] system:完全控制
- P+ s" W8 f! ~' L administrator:完全控制 - m( L2 P4 h: R
(允许将来自父系的可继承性权限传播给对象) b. @$ f; Y" r
b.\program files\common files: 8 m) e; G, |* e$ b, ]/ l6 A
everyone:读取及运行 4 v5 p8 l6 _- y/ X7 H' i8 y& i6 ^
列出文件目录 8 W# ]' ]; ]% p" T/ Q3 O) P
读取 ' z% W) o9 [. d( O; a( z$ j h
(允许将来自父系的可继承性权限传播给对象) ) n' P7 R0 v$ C0 R5 R7 A$ b
c.\inetpub\wwwroot:
5 [- d1 y% `3 E iusr_machine:读取及运行
( T) T' x$ y- G1 u& v 列出文件目录
: u0 g9 D2 a; N6 n# R0 R4 V7 b7 }$ } 读取
& j/ o$ u! Y( l! M4 Z: j2 N (允许将来自父系的可继承性权限传播给对象) 3 Q8 N9 Y' N+ c5 k
e.\winnt\system32: 3 E0 U4 i! L; j- v. T3 q
选择除inetsrv和centsrv以外的所有目录,
" T- l/ @; z& R' Y0 M h; e 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# o6 k' G9 B) K: i7 p( O f.\winnt:
# A2 C+ u, k* Y. s8 K3 a; x) [6 ^7 w 选择除了downloaded program files、help、iis temporary compressed files、
; k. {" a" i; e- G% J offline web pages、system32、tasks、temp、web以外的所有目录 ! g- V$ ]! r2 s/ _! {% Y
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; S7 g" G" @8 I! g3 D; P9 T g.\winnt:
( f& ?% r4 d8 k' | everyone:读取及运行 * ?( C, F' v: b& n8 S, C
列出文件目录 * r B; R6 V' r% }9 s* h# L
读取 # W; M" H# G/ `! O2 q: E4 o
(允许将来自父系的可继承性权限传播给对象)
# m' `' W; Y; m i/ n h.\winnt\temp:(允许访问数据库并显示在asp页面上)
1 K8 h: h, x& Q$ Q# e+ V/ _# V o everyone:修改 : M- w4 X+ q# z: R0 s& ?+ g
(允许将来自父系的可继承性权限传播给对象) 2 X2 P8 L% i. [7 y
10.如何隐藏iis版本 * W, i2 E( J) c* X1 i1 ~
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 q9 X6 K" ?* e* [" L iis存放IIS BANNER的所对应的dll文件如下:
8 x: M0 T$ w, `3 T WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 2 z( Q" p+ k3 E- K4 y
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 9 f9 R+ B. P; M3 `" M0 p6 n
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
7 e: A8 o& ^! M6 E 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 / o/ ^( y4 Y+ ]& g
具体过程如下: 4 `. T, ?( z, ^ v
1.停掉iis iisreset /stop % @+ H1 G+ Y. a% |4 \
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 ! T. X' f, ^3 g, a/ o* g4 N
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
