|
一位高手整理的IIS FAQ * i) f8 v% V+ A8 j6 i; m6 b* J9 v9 \+ H
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
, I, w' F& H' e8 y9 X/ i1.如何让asp脚本以system权限运行
3 P; [; S& _. s$ J/ @2 n+ A+ V 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... $ G8 t/ t/ R0 e, B+ h3 g" q4 u
2.如何防止asp木马
3 n! q* h5 b9 n1 m2 \5 v c" c 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
3 I3 G- @$ Y' Y, k* u, I q0 R regsvr32 scrrun.dll /u /s //删除
4 ^9 X' H0 S2 R* h9 c. d# A V" M 基于shell.application组件的asp木马
: z& T: w" }: L# |3 {; J1 V cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 $ X# Y2 ]( [* ] j/ b8 Y" x( L% _
regsvr32 shell32.dll /u /s //删除 - j- C; k% d/ t2 {+ D5 [
3.如何加密asp文件
2 ^' N- @: n g' Q, M 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
% U7 |: d8 r$ K' U$ A* J 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 + A' m4 j' ?' o5 L3 p y/ y6 b
运行screnc - l vbscript source.asp destination.asp
7 L4 K, t/ l0 v& x% [ 生成包含密文ASP脚本的新文件destination.asp
6 e( T8 B0 v d) N; {$ P: [- Q 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
4 n) I0 |. K3 j" U' y: ~ 但无法加密中文。
% z3 W7 D( D/ x; p; K6 e4.如何从IISLockdown中提取urlscan 0 P6 N: c1 a/ `; Q" l3 C
iislockd.exe /q /c /t:c:\urlscan
% U: r0 U' i W4 Z0 L3 a- G5.如何防止Content-Location标头暴露了web服务器的内部IP地址
, a `( m. m! d s, U 执行 . b8 d# ^( V& i6 C3 R
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True - s4 k! b9 s( h# d
最后需要重新启动iis
; q+ K! [5 ^2 J& ]6 e6.如何解决HTTP500内部错误 3 Z' Q5 k- d0 [
iis http500内部错误大部分原因
& ^8 Y8 Y6 ^- h! h# n% N 主要是由于iwam账号的密码不同步造成的。 $ j$ z/ L# y1 Y, b. O3 @/ z
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
! S6 `* C0 c( a& D, K8 z% b 执行 : h' z3 {, T! g. Q+ Z; {. T
cscript c:\inetpub\adminscripts\synciwam.vbs -v * J' F: e8 U0 R- D
7.如何增强iis防御SYN Flood的能力
; S. {4 m; ~7 j/ h5 a Windows Registry Editor Version 5.00 + A, q; h E" z; R6 F; O
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 7 e" d8 G3 Q7 L0 g6 _8 y s
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
( q2 G5 A) q) m. K) J- S 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 9 I6 [3 a1 x/ ~; p; K
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
, \9 ?9 j; k- w s0 p; Z4 x "TcpMaxHalfOpen"=dword:00000064
8 s4 u& C' }" n6 U9 u0 r 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
! \' t0 p+ J2 |4 R3 _( q* [; K "TcpMaxHalfOpenRetried"=dword:00000050 ( g6 T8 u6 {" j: O$ M
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ' p3 ~. e* s6 B- J) Z( g+ j
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 N; c9 U) e9 z5 {- ]7 W- ? 微软站点安全推荐为2。 ' u$ d$ k) {# A( R# W; u: s" I
"TcpMaxConnectResponseRetransmissions"=dword:00000001
: E, E4 Z. A1 A8 q 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
$ u1 _6 ?4 }" i e! L/ n0 c "TcpMaxDataRetransmissions"=dword:00000003
( |5 }8 ?2 x3 |2 \# _' {( C 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 6 O1 X0 C, L, H; g' ]. M
"TCPMaxPortsExhausted"=dword:00000005 % `2 J* u5 `& d( p# q; `
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
! g5 G7 a, `8 Y "DisableIPSourceRouting"=dword:0000002 / ], C( L% o! }( N5 q
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
1 A2 O; C e- A3 c8 P "TcpTimedWaitDelay"=dword:0000001e
! @: f( L( Z. |8.如何避免*mdb文件被下载
; Y' D" @+ ]! y+ R 安装ms发布的urlscan工具,可以从根本上解决这个问题。 0 R/ Q. Q: p5 p
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
& Z. b: s" K7 s- b6 V9.如何让iis的最小ntfs权限运行
7 W0 z; V/ j: `7 F Y1 b4 u 依次做下面的工作: , b- R6 S- g2 p: `1 t; A, E! L( f
a.选取整个硬盘:
/ h) D+ x9 o& z: V" E* p n2 b system:完全控制
9 ?9 h! [% n9 m: r administrator:完全控制
% r. {8 Y4 v) R; A8 `; ^* E (允许将来自父系的可继承性权限传播给对象) 5 ~& A N8 c. f& \( g# W3 `
b.\program files\common files:
; w5 F- a3 B y* ^0 G$ D everyone:读取及运行 / Q w" I- \4 g7 H
列出文件目录 : n) P9 K& M: |$ l: j
读取
# |' |5 l: d r5 e2 V- l% K! J6 Y3 O (允许将来自父系的可继承性权限传播给对象)
6 V# H* B9 S" G c.\inetpub\wwwroot:
1 }2 B8 a9 E0 P iusr_machine:读取及运行
* f# U- C& a* m+ Q/ i5 l& l 列出文件目录
/ l E( l- b, j2 T2 b' I 读取
8 H c: b9 {, T0 l6 w. z l (允许将来自父系的可继承性权限传播给对象)
7 Y: G) L; l# D& A4 k& [ e.\winnt\system32: 9 P( u) K1 F8 j; f, s/ }
选择除inetsrv和centsrv以外的所有目录, ( V. l+ ^6 Y/ p- \ O, \. y$ p
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ s5 d: e4 y0 l$ W3 g- m f.\winnt:
5 E3 A" w; Z9 ^1 ~, j 选择除了downloaded program files、help、iis temporary compressed files、
8 e0 c3 m `9 ~) I2 w3 P offline web pages、system32、tasks、temp、web以外的所有目录 ' @4 Z, O% X6 S( N) `9 I
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ D9 Z6 N; e& v0 D z g.\winnt: : ]( ^3 f$ J: `; l/ I! t- q
everyone:读取及运行 - F! _; x7 |/ B7 ^3 E/ Z
列出文件目录
1 n) ?& y7 p% Y* k5 o/ ]- F" z 读取 3 W I" B# C% k: N
(允许将来自父系的可继承性权限传播给对象) 6 V s- x+ c* e* x$ R( _
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
. t; b* r1 ?- q# E% ^ everyone:修改 2 n% p9 `& V5 b0 Q& E
(允许将来自父系的可继承性权限传播给对象)
7 C0 P( Q4 G6 K: ] M10.如何隐藏iis版本 " @7 ~6 w6 w: p. c8 o
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 O. \* j& u$ O5 j1 t iis存放IIS BANNER的所对应的dll文件如下:
+ l( S8 |5 K/ | WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
3 J) n8 ^2 w8 c: A6 H FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 8 Y5 q3 y( R# o/ G2 j' L/ y
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
! \& e, u6 P4 y! o7 [0 J2 }7 e$ O 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
2 K* e6 H4 L" L; S 具体过程如下: 0 P1 V$ h* R+ d. m; S' D
1.停掉iis iisreset /stop & H8 P# T" o) o: Q& v
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 + Q, g: z- s5 g' K
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
