|
一位高手整理的IIS FAQ
2 }( C A9 C; x& ?: A6 G& r3 _下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
5 d& ]) F- n, J1.如何让asp脚本以system权限运行
& i! [. T' C0 f/ l 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
7 F* T4 ^- c, g2.如何防止asp木马
# m' l8 x" A$ x) Y$ v2 S) J 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
1 v' ^; g# u, v$ P8 @+ _ regsvr32 scrrun.dll /u /s //删除
6 v" F" i8 Y6 r& { 基于shell.application组件的asp木马
& b3 W; |& {8 [2 m8 h1 C cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 " V6 c# c2 T: O3 n) u* a$ i& p
regsvr32 shell32.dll /u /s //删除 8 F8 U( {3 D1 Z5 v1 w V# d0 M
3.如何加密asp文件 ) w. s0 Q; b% p* E- n
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
' a6 b" j, z9 c# J7 G 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 & H4 o- `! C9 J I' U* v8 S$ ?0 b
运行screnc - l vbscript source.asp destination.asp
* g5 ]0 s: o" ?$ H7 X8 Y 生成包含密文ASP脚本的新文件destination.asp \3 u9 g y; Y. J
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 % M% |( N2 c* R- D" h
但无法加密中文。
8 T" Y5 N: L* v% B8 G4.如何从IISLockdown中提取urlscan
! W' c3 x6 h E iislockd.exe /q /c /t:c:\urlscan
! r2 @* U9 f; g5.如何防止Content-Location标头暴露了web服务器的内部IP地址 8 g' i& q& w. H3 q4 @5 P) }
执行 ' r. y# t2 l/ B& S) E3 W+ K
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
6 v( U9 `& Q* g% O+ X$ M 最后需要重新启动iis . L" r: ^9 R. _; q% T
6.如何解决HTTP500内部错误
0 F9 y4 f7 q" S: e* J) E iis http500内部错误大部分原因
/ s: h6 d% ?- U/ u 主要是由于iwam账号的密码不同步造成的。
8 H" `8 i( I6 x" A! }+ x 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 6 e5 e6 y1 x: O# z: N# w
执行
. S5 ?- Y3 ^# ^7 u0 d% A4 l cscript c:\inetpub\adminscripts\synciwam.vbs -v
8 Q5 f* K( `: r1 Q7.如何增强iis防御SYN Flood的能力
5 c$ v9 o+ [' S5 m O5 d/ ~. V Windows Registry Editor Version 5.00
6 k/ X$ z4 Z# a- x9 }( I* B [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
/ z. U6 P) j# E2 V. M; X. Z 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 4 O& R" [1 e# k
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 8 s; H5 z6 ~2 O
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 B o0 z" g. d: |; G, D& y; G
"TcpMaxHalfOpen"=dword:00000064 & S+ w- ^( @+ T1 I' F/ |8 w
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 8 Q: D& E' B9 e2 k' o4 N: ^5 C: Q
"TcpMaxHalfOpenRetried"=dword:00000050
. E- Z8 I9 n) @9 Z; I- O 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
! |# v x* y% p 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 C6 D' i% O# S1 Q
微软站点安全推荐为2。 6 \& B( Y8 a& V" T! U& ]0 R% S
"TcpMaxConnectResponseRetransmissions"=dword:00000001
; J, k7 }1 M( F9 C# a% `7 r 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
: q, q3 z! o" @& g: B9 k# a "TcpMaxDataRetransmissions"=dword:00000003 ) `7 G. _& r( h4 x% {
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 ' W3 i% k! u: r' ~: @# j
"TCPMaxPortsExhausted"=dword:00000005 & z4 M- p9 _* I3 `* P
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 6 ?9 {" C! P9 F
"DisableIPSourceRouting"=dword:0000002 ! K% N; b, `# n3 y' d
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
; b3 J& I2 c3 n. L7 g7 ~/ s& Z3 ~ "TcpTimedWaitDelay"=dword:0000001e , K* h) C2 y2 y) I
8.如何避免*mdb文件被下载
: `/ v0 L1 `: L 安装ms发布的urlscan工具,可以从根本上解决这个问题。 ! v, h* x, ]5 ~) e
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
@1 v) |. y+ D" k( a. R E: w8 h9.如何让iis的最小ntfs权限运行
# O) ~' y7 ]. h3 [ 依次做下面的工作: 7 N8 c/ ?1 a0 E+ K/ Y
a.选取整个硬盘: ) W+ ?5 U0 V! m5 M1 i) U% _
system:完全控制
w+ A c" j+ S$ P( X' [3 D. F administrator:完全控制
+ @2 H, u1 u( _) U) f" r0 P$ D (允许将来自父系的可继承性权限传播给对象) 3 R2 X+ u+ }" r+ D4 p* k
b.\program files\common files:
: I# h* D* f, A1 P+ \6 ~; d everyone:读取及运行 ; B$ r" b t$ e, \/ U
列出文件目录
% }+ B" ^/ H* F" S6 ] 读取
7 i p1 E/ t) |; b& J! ] (允许将来自父系的可继承性权限传播给对象) . E) g( O: n& @% n) r
c.\inetpub\wwwroot:
! p6 C+ j1 F3 ]. l iusr_machine:读取及运行
8 C4 ~ f1 |) N5 [ 列出文件目录
" H* v. B v% c6 ]0 _ O! { 读取 H% T* a( f' Y$ {5 ~) u* d* j
(允许将来自父系的可继承性权限传播给对象)
: |/ u' M. w0 F5 g' A5 I& D e.\winnt\system32: 2 H; D3 I( X5 `" ~4 _- V% U( q2 p
选择除inetsrv和centsrv以外的所有目录,
7 U; Q8 [: i- l6 H, J7 |% r( c 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 0 m9 A* T; J9 {& A# {! \5 a
f.\winnt:
7 @8 C) ?; M! z# o& y+ k& @- s0 X' F 选择除了downloaded program files、help、iis temporary compressed files、 - Q& r J4 e7 d, d4 N
offline web pages、system32、tasks、temp、web以外的所有目录
! N! U1 U; Y1 z) Y 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - \5 M' V3 b: s# V* P% U
g.\winnt:
9 T9 M" E5 X5 b- k- I# c3 v everyone:读取及运行
) Y4 U5 ~% N6 J! W' C& J& f 列出文件目录 & Y$ |1 Z5 K9 c- g% }
读取
+ `: M" {" ~ Q; r8 u, n/ Z (允许将来自父系的可继承性权限传播给对象) 8 K: b+ B3 N" w3 X- V9 c. `
h.\winnt\temp:(允许访问数据库并显示在asp页面上) ; J8 e- {* T5 z" b) Y
everyone:修改 8 s* P0 Z5 R9 `/ q
(允许将来自父系的可继承性权限传播给对象)
+ g5 M9 d; D' Y6 u10.如何隐藏iis版本
( m; D [" ^- t* ^) } 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
4 x) W: h6 g7 f' b5 z iis存放IIS BANNER的所对应的dll文件如下:
3 ]0 j; ?+ m; R4 g WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
) }$ e: ?0 [' o FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
. ^) c9 F5 b0 R. b SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
8 w9 q0 x: g8 M/ i. H2 C L 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
* f- K" W. p& L1 q( j9 l 具体过程如下: - j5 K! K; K5 a% E/ U- P8 Z
1.停掉iis iisreset /stop ! ~0 Z; w# t9 N7 ] c
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 - u8 z& z6 O. p5 h
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
