|
一位高手整理的IIS FAQ 6 \9 G3 I# \( A8 q7 ^9 A
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
3 l& D4 P! p2 B+ R" n, K; q1 |1.如何让asp脚本以system权限运行 ( E- |7 V3 u% y' [
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 7 |# E2 s* x) a6 i
2.如何防止asp木马
. k' R _0 ~" J6 A 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
# b7 Q% ?2 l! L! \; |/ @9 x regsvr32 scrrun.dll /u /s //删除 . E/ S3 V! O7 y M; A' U
基于shell.application组件的asp木马 ; B9 {/ N5 I6 {
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 1 t. W) {% Q2 k# W( \: J7 _& g0 N
regsvr32 shell32.dll /u /s //删除 7 }! G+ r0 p6 t
3.如何加密asp文件
& b# }0 M3 l6 ?& O& r$ | 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 3 b' G! U5 W( V
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 5 Q+ f7 P; h5 M
运行screnc - l vbscript source.asp destination.asp 2 @, {; X/ _! K: m/ _# k6 \1 O
生成包含密文ASP脚本的新文件destination.asp
0 x* m0 h+ y8 A2 U' U9 K& r 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 2 \% q! f0 C$ h
但无法加密中文。
+ V% s; m/ m- E0 O6 Y, V9 B5 g4.如何从IISLockdown中提取urlscan 3 r2 x' J% K. ^
iislockd.exe /q /c /t:c:\urlscan 2 U( S( m( ?! y6 [3 Q9 ^) r
5.如何防止Content-Location标头暴露了web服务器的内部IP地址
! N6 ?/ J" F4 L# N' x 执行
! C/ A; s& ?) s6 h cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
% |( J8 J! H5 T* Z; a- u 最后需要重新启动iis
4 d1 i9 z& B4 s) u& |% P7 Z6.如何解决HTTP500内部错误 - a' p6 G4 f. @0 Q& S. g
iis http500内部错误大部分原因 3 e" h4 W0 r0 V7 k. f, b/ L
主要是由于iwam账号的密码不同步造成的。 @$ A( V ^+ j3 J! ?
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
1 E. k& N; T, ^ 执行
2 P2 v6 M/ W: x" |4 o5 A9 A6 H cscript c:\inetpub\adminscripts\synciwam.vbs -v
9 [7 _3 L" y5 f p7.如何增强iis防御SYN Flood的能力 C) w3 k1 }, M$ H
Windows Registry Editor Version 5.00 2 _* h% }8 u5 C* Z" [8 s
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
6 j+ I7 b5 U! Y/ r f 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
- S. F( ^8 g" ~, @! S" W9 C. W) x 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
. w" ]( U L9 T$ J4 ] "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 T6 }; ?3 ~ C$ z "TcpMaxHalfOpen"=dword:00000064
. s& J( T! E" T+ U s- ]" \1 U 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
# S+ j* D: o% X "TcpMaxHalfOpenRetried"=dword:00000050 # ?' |( A6 t D# w
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ; @0 h8 N; }# I6 a2 E
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 + H# M5 a7 \! ]. b. e0 _( m
微软站点安全推荐为2。
8 F( W8 M; h8 o' L$ \7 U "TcpMaxConnectResponseRetransmissions"=dword:00000001 2 @3 D' B" ?, \
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 " @" z( v' m g& }
"TcpMaxDataRetransmissions"=dword:00000003 % F) p# l" L9 R+ f' O% H8 q/ ?
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 ! ] j2 Z( y, a% w
"TCPMaxPortsExhausted"=dword:00000005 8 N( c! u5 I' \8 L( \' S
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 * t: v9 C) V( J; l
"DisableIPSourceRouting"=dword:0000002 3 W! ]' G! ?( U3 r
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
3 S$ E E0 P$ M* V. ] F) X$ K9 I "TcpTimedWaitDelay"=dword:0000001e $ T4 [5 ~8 n( a5 V2 ?
8.如何避免*mdb文件被下载 + g! z0 X, @6 I# E! M: i
安装ms发布的urlscan工具,可以从根本上解决这个问题。 * r! E5 b) @0 u1 k, X
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 1 [* j4 C7 q1 i" H
9.如何让iis的最小ntfs权限运行
9 i2 M, N4 u2 [ 依次做下面的工作:
?. Y' j3 Y( x a.选取整个硬盘: ( {& d) e/ k$ Q4 e: |0 z
system:完全控制 # E/ o! }. ^4 w/ s+ G9 w
administrator:完全控制
6 {: ]. h( v+ m7 H# U- R (允许将来自父系的可继承性权限传播给对象)
& r7 Q9 g+ v1 d b.\program files\common files: / F# K" q; Z% b/ B0 E! K
everyone:读取及运行
# X6 K. h$ v/ j( v( I k 列出文件目录
' \' W3 q, n% U& f, C A. m 读取 5 @/ f0 D& P" c& p. v% L
(允许将来自父系的可继承性权限传播给对象)
/ a, Z$ v" _# \3 o3 b* m c.\inetpub\wwwroot:
- T& x' A0 D( O4 d9 a6 m9 B { iusr_machine:读取及运行 . Q( }: G, n6 R
列出文件目录 . p. D. |& i( c4 b: B
读取
! X! L# q! o+ z }8 [) W. I (允许将来自父系的可继承性权限传播给对象)
( E: R- B0 z+ K' i8 w3 Z6 e7 v e.\winnt\system32: - y1 S" r' q* d) Y4 @
选择除inetsrv和centsrv以外的所有目录, - e9 L r9 c3 P- u6 U# q
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" X; A; i+ A0 D' Q1 K: ^# t f.\winnt:
# s. ?: X' e) `+ } 选择除了downloaded program files、help、iis temporary compressed files、 / a. K; V* y% J) v
offline web pages、system32、tasks、temp、web以外的所有目录 2 m1 E1 H* ^$ z) }
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 % w& K2 ?9 D$ X5 t2 h% d0 t
g.\winnt:
j& r7 O2 }$ {2 O4 I) H1 P everyone:读取及运行
& P% K3 }' v0 g) @5 C# l 列出文件目录 - q h- }/ ^) N) u
读取 4 k/ O# n; f8 F5 _( |
(允许将来自父系的可继承性权限传播给对象)
+ T" F! a. a* S _ h.\winnt\temp:(允许访问数据库并显示在asp页面上) : T7 }1 ]4 f- b
everyone:修改
0 P N: d$ q) ~5 j% h4 Y4 J8 M9 e# n" S (允许将来自父系的可继承性权限传播给对象) ' X) H, N+ C) L: }
10.如何隐藏iis版本
: I2 @2 X( l/ \- [4 F2 b: a 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 S$ F0 j, m: ?5 i+ X iis存放IIS BANNER的所对应的dll文件如下:
4 q/ v2 _$ V) f7 L; J. r: C" l2 ~+ M WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 6 C! p2 j E& a- j; V0 Y
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
. R. b( n: [1 @% l2 S- f/ T& M. c7 E SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
+ a- ~9 |( g+ }+ W: h) u1 c2 f 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
, u& w% y% }: R# _. N+ _$ @" w 具体过程如下:
6 N+ l) P5 A3 {) y2 X 1.停掉iis iisreset /stop 0 a! D5 a; y# Y9 o, {- _
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 7 S/ O B9 V& Y2 u
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
