|
一位高手整理的IIS FAQ
6 z& u2 j& C% D- k3 }$ F5 n N$ @下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! % j9 M" w5 c! \% m
1.如何让asp脚本以system权限运行
" p5 }6 r! a+ F; I6 _ 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
, b/ C' L- @: B% J% @; [% @8 ^2 C# E2.如何防止asp木马
/ B t f. J% e0 H+ T2 c 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 * O- Z- R7 a1 Q
regsvr32 scrrun.dll /u /s //删除
' n+ [0 h( a r) {& B 基于shell.application组件的asp木马 - @. }% o+ }5 o$ H& C; U
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
+ e! n8 o- a, ^8 C regsvr32 shell32.dll /u /s //删除 4 H) ?8 v) b8 A$ ]# }( N5 e6 v
3.如何加密asp文件
9 \/ X/ q* I' V& i9 _9 M 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 ! ^5 F! q. g( t. W
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ; C$ P2 Z( Y2 u
运行screnc - l vbscript source.asp destination.asp
" s0 x" _; q, K x+ ~ 生成包含密文ASP脚本的新文件destination.asp
8 c) R) P4 U2 D) w' F( H 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
- Z N5 \( ]0 R- J1 z! ` 但无法加密中文。 & M3 w6 M4 o. E* i6 o
4.如何从IISLockdown中提取urlscan ; d. p6 G, y, f' C- H& |
iislockd.exe /q /c /t:c:\urlscan
2 l7 M2 R! y) \/ |2 N2 Z$ q5.如何防止Content-Location标头暴露了web服务器的内部IP地址 8 |) y2 z8 E0 u
执行 $ I/ q3 e6 {, \' m* v" ]
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' _ K4 U9 @- ]7 {2 N 最后需要重新启动iis
; T* |+ ]; E2 z! d) H# q6.如何解决HTTP500内部错误 ! z7 Q) }: D0 Z+ r, b
iis http500内部错误大部分原因
6 D7 D4 p( ?& C4 |0 i: _7 V 主要是由于iwam账号的密码不同步造成的。 ! d. x" b5 }5 H' Y) o' @
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
( P+ w- V% N; l7 v4 t2 @ 执行 . A( _, {- n4 Z* E2 L
cscript c:\inetpub\adminscripts\synciwam.vbs -v 1 ]7 f! w# |/ A$ Z- m& c; f
7.如何增强iis防御SYN Flood的能力
Y1 c5 E5 Y% J4 F0 d. q! F Windows Registry Editor Version 5.00 ( @/ Y# L& p, h- }1 @
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 7 a+ a$ z* Z1 y# R" ^ C. f5 q9 ]& n
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
+ A; D: {5 c& B9 w; h% W1 H' h! } 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 2 M5 E. ]' C: j5 Y# P
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
' ^7 k" D) l2 e! D "TcpMaxHalfOpen"=dword:00000064
/ F& P# B- j. } H 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ; G( N. w; v9 f3 K
"TcpMaxHalfOpenRetried"=dword:00000050 5 h O _* T# _& H
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
- i! F; P7 @# R( ~$ X x; f+ T 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
0 G% n8 }* _9 C( ?) Q, Y 微软站点安全推荐为2。
0 m$ c d. J- J* ?& w "TcpMaxConnectResponseRetransmissions"=dword:00000001 : i; L H' U9 Y7 K- @
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 # ?0 H0 e4 C+ M$ g/ w
"TcpMaxDataRetransmissions"=dword:00000003
' z- `# e/ M* `5 g 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ t1 S$ V5 R- M( t) l5 Y "TCPMaxPortsExhausted"=dword:00000005
* R4 s3 B, z$ x( e 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 - L$ f" e1 K' a) g
"DisableIPSourceRouting"=dword:0000002 4 N4 V' y+ {: e( k( ?! t9 U
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ' v$ U A9 a9 u( l5 ?. ^
"TcpTimedWaitDelay"=dword:0000001e 7 N+ Y0 N8 V+ k4 d( ?: Y
8.如何避免*mdb文件被下载
1 k4 F. F9 l/ O 安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 P( [5 q5 S4 X5 D 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 8 _- U- ?/ s' p y6 U
9.如何让iis的最小ntfs权限运行
3 N2 P( M8 X, O& |5 J6 Y 依次做下面的工作: * j/ q' i, |9 K4 r; R
a.选取整个硬盘:
) f+ }4 t, l1 z7 y! g system:完全控制 ! ~4 I& g$ ]7 v
administrator:完全控制 , W8 }1 b5 f. D3 |5 L# X
(允许将来自父系的可继承性权限传播给对象) 0 @% q0 |; d$ G$ g: j! ] A* _
b.\program files\common files:
2 p" f' d5 W+ z3 f. @3 c' C, f everyone:读取及运行 & a/ e) _6 A) m6 Y( ]/ T" y
列出文件目录
' ~* X) g, Q, q) C 读取 N5 l# J1 x4 O) }( v* l. ^
(允许将来自父系的可继承性权限传播给对象) . A) U e; p" a& _+ @& W: ~2 p! t
c.\inetpub\wwwroot: $ w9 _8 j4 i6 A* N4 F
iusr_machine:读取及运行
* T' ^) K( D( F# e: [5 F V5 z- f 列出文件目录 , X5 `$ o. J2 [& H; k8 c$ K) T
读取
9 u/ q; u$ e% p6 C" R" N (允许将来自父系的可继承性权限传播给对象) 9 p! \- C' I" U! D
e.\winnt\system32:
' p5 i' T1 w. r4 A! G6 h 选择除inetsrv和centsrv以外的所有目录,
k U* _- E. G( R 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, d3 ]. H* e0 y6 g b( H f.\winnt:
9 l5 X" M' O4 F! s. t! ^2 @ 选择除了downloaded program files、help、iis temporary compressed files、
9 k. c9 V! h8 K- u* a offline web pages、system32、tasks、temp、web以外的所有目录
* T& |3 ]6 _. w7 W( [. m8 k3 ? 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 1 v( ~' ] h! U6 r. k8 o K' F
g.\winnt: & ~0 K' r8 g/ t/ `8 T
everyone:读取及运行 # S3 v" x' `! i. k# T
列出文件目录 1 T. c2 W. J8 [
读取
4 z4 U" V+ o% T1 R5 D( R3 N# G) } (允许将来自父系的可继承性权限传播给对象) 2 L/ o7 K: |* [+ P9 m. O& j6 J; q
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
! l& ~; g4 r# c4 e everyone:修改
$ b4 t: w/ j, u. G (允许将来自父系的可继承性权限传播给对象)
8 Q! k1 H3 C* x9 T: z10.如何隐藏iis版本
; e1 U& C3 q! Z7 G3 ] 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
3 G8 {) T$ @& R% S1 s: r iis存放IIS BANNER的所对应的dll文件如下: 0 y* X; E; J9 B+ w
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
( Q: z' r: J3 g$ x1 \& i& X FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL " ]+ x8 r4 k P8 H
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL " C4 y' L. H) m2 t2 l
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
6 h, C! A! I1 y( h 具体过程如下: % }/ a+ [7 l- H5 `) ^2 a0 p O/ }5 E
1.停掉iis iisreset /stop $ X# c$ u0 ^3 w3 e6 X/ h( m
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
0 v/ b& C6 b* q# Q; A8 e0 I 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
