|
一位高手整理的IIS FAQ ! l, x1 x% J$ a# l
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
* [5 B" O( F3 K* f" n3 A1.如何让asp脚本以system权限运行 * }: R1 k7 w- g4 _+ i4 P
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
# k# r/ h- N8 j2.如何防止asp木马 & G% ]2 `' Y0 q( g7 u% n) Y N, u
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 1 }0 L- t/ ?) }
regsvr32 scrrun.dll /u /s //删除 ) g& c' v T! z8 t/ n1 u% U; X, _
基于shell.application组件的asp木马 ( D3 @3 O% W* O) p
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
5 x% S0 F4 _8 o" K5 c! z regsvr32 shell32.dll /u /s //删除 0 T* a( f. H- ?; B4 m( ~5 v
3.如何加密asp文件 6 o5 b. e+ _8 l- E( q7 p
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
& E9 B2 _5 Q- y5 T 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- }: n- B3 \2 C) p$ U0 a, n 运行screnc - l vbscript source.asp destination.asp . [ }3 N! D; b- H7 T7 D. I
生成包含密文ASP脚本的新文件destination.asp & i* U; f; n4 i4 [
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
% {8 Y; U9 i8 m. l; | K 但无法加密中文。
* \4 H& P* c \9 b7 ~4.如何从IISLockdown中提取urlscan . a. S% E8 c4 T1 V4 e* f: T
iislockd.exe /q /c /t:c:\urlscan
a" \% C3 ~! n5 [6 g$ N' M8 I5.如何防止Content-Location标头暴露了web服务器的内部IP地址
( k/ B% ?2 ]1 s. |) { 执行
; b: u+ ] B& {2 Z/ O y6 X cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True . f, x# C" V# i7 [/ R/ T5 c/ T
最后需要重新启动iis * k/ s8 _$ u0 i) t$ ~8 k
6.如何解决HTTP500内部错误
% J5 n% b% C8 n, L2 Q+ h( a+ f: ? iis http500内部错误大部分原因 8 J) u- U- K7 [( y9 F
主要是由于iwam账号的密码不同步造成的。 3 J) U9 T0 v2 ~. b9 Q: F( @
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
1 ]6 Z( y: ?' w! j2 b; p) \ 执行
' k9 y6 }3 o; j8 M4 {( A cscript c:\inetpub\adminscripts\synciwam.vbs -v ( ]( a5 E) b- B. N- h" A
7.如何增强iis防御SYN Flood的能力
# @2 u2 f* V; n! j$ b: c5 M Windows Registry Editor Version 5.00 ( P+ s8 \% J! e6 K- E h1 R
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] " C: Q6 R7 U ~, ]
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 $ u( L2 W! Y$ K
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 6 Y0 P2 a8 F% z& l+ n7 ~& x
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。 ; [- D% x% A4 c
"TcpMaxHalfOpen"=dword:00000064 & g6 \! Y) K! w
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 3 W$ o% B$ M# V( E% ~
"TcpMaxHalfOpenRetried"=dword:00000050 $ r3 H1 V* I9 m6 R r8 f
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
4 p5 Y. \, Q/ g) o+ V 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 * ~+ Z9 [- p, K
微软站点安全推荐为2。 & Y( F% R7 x i' w
"TcpMaxConnectResponseRetransmissions"=dword:00000001 8 y D9 j4 @- [( C, r! J
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 3 k P0 L, O3 ]- O
"TcpMaxDataRetransmissions"=dword:00000003
+ S0 F+ Z* T! `/ Y& r* Z5 s 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
2 e5 s2 ?& s) U" x! g3 | "TCPMaxPortsExhausted"=dword:00000005
! J6 N+ T( i! ~ 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 1 M- p' {% u4 x
"DisableIPSourceRouting"=dword:0000002
- ?/ J+ x- @9 q6 m1 R( ` 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ! ~% L7 n: F9 L( |9 {
"TcpTimedWaitDelay"=dword:0000001e
$ h2 b Y. k% F) t8.如何避免*mdb文件被下载
# ]- H: k4 Q$ s' _# f9 W3 r 安装ms发布的urlscan工具,可以从根本上解决这个问题。 4 m6 i8 }5 X& m( f7 w, R
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
& b0 ~) I% `4 @0 `$ Q" T1 J9.如何让iis的最小ntfs权限运行
8 x. Y: |6 r; a) D1 { 依次做下面的工作: : d* Q. G- B2 Z: ~( t2 C; x4 q
a.选取整个硬盘:
4 K2 ~. E7 d! N& L3 r system:完全控制 - S& U! f. h" c# t
administrator:完全控制 + d+ J& y( p( b" e2 A- X
(允许将来自父系的可继承性权限传播给对象) ; w6 C# C/ J# E
b.\program files\common files:
+ Y. t. @ R5 P everyone:读取及运行
# o' B( y1 A' E5 l& v% v0 F" Q. L 列出文件目录
4 S+ d. f; r, K: Q. ~9 v6 e, T 读取 " Z3 z; p8 \% O P8 z b( U( P
(允许将来自父系的可继承性权限传播给对象)
8 {7 H, V! n' V2 w) g$ ?% d c.\inetpub\wwwroot:
' @. D' G, ~: `* U2 P1 i iusr_machine:读取及运行 , z" G& A- v5 n0 k9 I2 t
列出文件目录
, L# M9 H h+ X4 ] 读取 : k% d( B7 D, l3 s6 F6 T) K
(允许将来自父系的可继承性权限传播给对象) 5 s( X: g5 D d
e.\winnt\system32: & \; V- ?7 S- b7 B' N/ D* i/ V
选择除inetsrv和centsrv以外的所有目录, 1 g2 L- S+ k O( e, r5 ^5 [. K
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; C8 z/ y+ Q- s f.\winnt: 5 K7 ?3 Q2 [, |5 s: d
选择除了downloaded program files、help、iis temporary compressed files、
- ?5 a+ r) I8 E" P$ H* P( S offline web pages、system32、tasks、temp、web以外的所有目录 - y% b( l: Y( Q$ w3 w: u0 |
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
2 d! M6 h" H( Z. \; S% p8 {" l g.\winnt:
: O& Y. h" o- V' j& I everyone:读取及运行 1 R( }" K# M0 f2 L* H
列出文件目录 2 F/ m% r) w1 }2 s
读取 g. Z4 }- r$ E0 V
(允许将来自父系的可继承性权限传播给对象) 8 t2 E; t9 D* C# P, P
h.\winnt\temp:(允许访问数据库并显示在asp页面上) & S- h/ e4 X6 i, l
everyone:修改 3 H( Z1 ~1 Z2 w$ l" x9 x
(允许将来自父系的可继承性权限传播给对象) 8 Z% S# f) K: h
10.如何隐藏iis版本
' [0 F* e6 t, t# L* X7 C5 C 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 0 H+ F6 L- {. _9 {' H
iis存放IIS BANNER的所对应的dll文件如下:
: s1 i. E5 i* H" N5 c% E( [( D WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 4 r- w9 `; \7 A- b- w- M4 C
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL 0 U8 @6 P& h! e9 G" N3 X: t* i4 [6 B
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
/ E* W0 P3 T' i+ L4 W( v; s 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ) [; k0 @# e6 S8 y
具体过程如下: 9 V3 y- T- L9 F5 E3 `# q* F; x5 |
1.停掉iis iisreset /stop
/ ?+ x$ V" e" C8 o2 p 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 7 d1 a* u5 Q6 q$ k3 f) P
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
