|
一位高手整理的IIS FAQ
7 F, U5 A6 O3 Z9 O7 ]9 H& Z' v下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 4 b( T. f1 }2 j8 r( \, I
1.如何让asp脚本以system权限运行 6 f% J5 k" K! O' d, V- p
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... A* r5 Q& r0 E/ V1 h. n' ^7 s* w; C
2.如何防止asp木马
/ {$ ^6 l0 x# K. H& }* f 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
- x0 f# y% ^9 m- x regsvr32 scrrun.dll /u /s //删除
# e9 D2 @* f/ j8 J 基于shell.application组件的asp木马 $ T6 C a& N1 `8 m
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
( o" {+ ~( U, d/ S9 U0 F regsvr32 shell32.dll /u /s //删除 ; p3 Y p/ C9 z5 J
3.如何加密asp文件
. z# \ l3 H& |' u2 \, ~ 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 7 R8 p; b, x& r2 h, H2 s5 G0 S
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ' ~' o) v: }$ k
运行screnc - l vbscript source.asp destination.asp
. {1 m& ~% t, t. t+ c 生成包含密文ASP脚本的新文件destination.asp
+ p: L R# y _# c' @; v 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 5 |/ m' V7 o' r! |9 X
但无法加密中文。
6 B/ A, n/ w8 f/ u* ~* G1 L4.如何从IISLockdown中提取urlscan % u! X. T. r- O9 b& B
iislockd.exe /q /c /t:c:\urlscan 1 W$ X% S' l R( ?) L
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
9 X* f, a0 y8 R- S9 x 执行
3 V4 h% x& [3 F" u& f cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
! k# P, S8 }5 _ 最后需要重新启动iis . v9 A( k+ K1 c) U& j, z% \$ H/ V
6.如何解决HTTP500内部错误 1 k# W, Q K0 [: f; V6 V ?4 y
iis http500内部错误大部分原因 & L$ q1 ?) q# d/ [* X
主要是由于iwam账号的密码不同步造成的。 ' F6 _# g) y0 C3 v' M
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
& H9 L `3 C6 r2 g6 i 执行
; A4 u( Z: _. i& p, m, d3 Z cscript c:\inetpub\adminscripts\synciwam.vbs -v $ j+ r4 M! ~" T2 u+ [
7.如何增强iis防御SYN Flood的能力 q1 S/ ^$ c* ]8 J& Y
Windows Registry Editor Version 5.00 * v, C# t: w) W. ]1 r" Q( s
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] , I8 E: Z2 n9 c3 J
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 5 U/ C* f; k1 t% y
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
0 ~( M0 i& j$ Y! G* W1 ` "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- H0 X1 A- `( Q" Y "TcpMaxHalfOpen"=dword:00000064
. H5 _/ |% j& |3 c. W5 H: N) g 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
' V7 @7 \& I3 u2 ~# e3 g' r "TcpMaxHalfOpenRetried"=dword:00000050 : F/ l0 [" D5 ~4 |( e; I
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
* S$ `" ~# A/ n& w3 r) j w6 N& @ 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
4 ?4 P8 B# I8 C4 F/ H 微软站点安全推荐为2。
/ J; _3 z3 l9 M "TcpMaxConnectResponseRetransmissions"=dword:00000001 : C) ?. v- r6 `' R7 ~ R
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
5 @. h1 z4 {- g& [ "TcpMaxDataRetransmissions"=dword:00000003
$ X! O8 @2 a$ k1 x0 \& z 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 4 m' ^/ m) R# a: t' @0 F/ j: v
"TCPMaxPortsExhausted"=dword:00000005
) U, J3 U6 \$ `& ~/ I 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 % q8 h4 V0 a5 l; D* B
"DisableIPSourceRouting"=dword:0000002
1 |2 w+ x; i8 {; d+ _3 I4 P 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 " t# ]. L, ^7 ~
"TcpTimedWaitDelay"=dword:0000001e ' ?) I5 `5 J" ^3 c$ F+ q2 {, j2 R
8.如何避免*mdb文件被下载 & i& }" X% D' K1 A# K
安装ms发布的urlscan工具,可以从根本上解决这个问题。 F/ j7 z6 R! T& C& C! L
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
# s, D; M1 V* B2 h y9.如何让iis的最小ntfs权限运行
% ]$ L" a$ O* S: {* _ 依次做下面的工作: 9 _: F0 F( J, _. F: s. a7 S
a.选取整个硬盘:
: C# H/ y2 z5 l, d system:完全控制
% \: G" a& \! s! Q administrator:完全控制 9 ?, u+ S) S) ~/ T1 |# C
(允许将来自父系的可继承性权限传播给对象) 7 I6 t) ]( |4 x" k4 I
b.\program files\common files: : W' y* o$ m( N/ D
everyone:读取及运行 * E% N. E2 D/ d
列出文件目录 U- i" d# W2 m" N
读取 $ e j6 A) I# e1 `& ], c. e9 m
(允许将来自父系的可继承性权限传播给对象) 8 V3 x/ u! K8 M: |" K
c.\inetpub\wwwroot:
7 F6 c1 r- m5 @! a iusr_machine:读取及运行 : Q" ]5 g; [+ m: m: d
列出文件目录
" X) \: U: k& S1 b/ Z0 b) X 读取 * F, s8 t( W$ m6 `
(允许将来自父系的可继承性权限传播给对象) , P4 t" y# n$ w" F$ a9 A
e.\winnt\system32:
# [" }, q' o- ?- P! @ 选择除inetsrv和centsrv以外的所有目录, & A5 }' M6 ]/ [0 P! }0 V8 _$ m+ B; q: j
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. N# I, ^3 w6 @- G# Z3 Y, B8 G f.\winnt: 9 ~$ Z9 M$ _9 w6 _
选择除了downloaded program files、help、iis temporary compressed files、 2 _. y! s2 [) o r; D: L6 ]
offline web pages、system32、tasks、temp、web以外的所有目录
) k# o# O3 {* x. e7 h' V6 w6 b 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 3 L0 `* ?# X$ e. ~+ v7 O, g4 h; K
g.\winnt:
( K' ^0 j+ Z/ \ D% l& E everyone:读取及运行 $ e u- c% W, w& q
列出文件目录 ; P0 t( L+ z: F6 B( Q! a# _. }
读取
- T- \5 V0 {% [% q/ t1 O (允许将来自父系的可继承性权限传播给对象)
9 O! i: T- I$ x# n0 A7 N h.\winnt\temp:(允许访问数据库并显示在asp页面上)
0 x- N. |' d: I+ k7 x everyone:修改
" x X, W3 T* `2 k (允许将来自父系的可继承性权限传播给对象)
7 L' \' Z( K Y- l3 t6 u3 t6 z10.如何隐藏iis版本 0 N/ @$ h% O' H$ p
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
( m/ T+ ?# p+ v! \ iis存放IIS BANNER的所对应的dll文件如下: 2 A* S% V4 M6 a1 M
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL ' g& x% N, g4 Y7 V; z1 [
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
M3 S" n+ {! S; h* ^ SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
% X. k$ d3 M- u8 Z9 r9 a2 K 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ~2 d6 o5 h3 ?+ g2 j- W5 l
具体过程如下:
4 c, }" n# m2 X+ Z 1.停掉iis iisreset /stop
; [# I: }' L! M: a: {( C, @ 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 " h6 O( K& Y! x* \
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
