一位高手整理的IIS FAQ 6 E) q' A2 z+ h! A1 e. v
下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! # C' p, E( Y7 D; a7 I
1.如何让asp脚本以system权限运行 2 S5 U n1 n Y! c$ ~+ T
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... # \2 x8 K* O$ }3 a; j
2.如何防止asp木马
9 c, q% e( h# M: k. Y+ Q( _ 基于FileSystemObject组件的asp木马 cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
* [) x1 U+ D" z. t, E! h regsvr32 scrrun.dll /u /s //删除
2 W, ?+ r& I7 V) i+ M; O 基于shell.application组件的asp木马
2 T/ b' _! w( C+ Y! r cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 8 q$ i2 Y$ Z6 D
regsvr32 shell32.dll /u /s //删除
: u e5 v3 t; \+ N6 j0 R. `- {& V% @3.如何加密asp文件
0 x6 ]; V: Y- e0 }8 v' h& ` 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
( ?" `, W1 w- i9 }0 Y9 o, E 安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
5 i+ }& p [ q; f% S& o+ [ 运行screnc - l vbscript source.asp destination.asp
- }% v* n2 u1 q5 A! q+ A& k: E 生成包含密文ASP脚本的新文件destination.asp 9 y# J* \5 O) @
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
# R T/ E6 w! v 但无法加密中文。
1 k6 K/ q& D8 W* l+ ~# D1 _' ^0 V2 ~! O4.如何从IISLockdown中提取urlscan W3 g5 V! A9 H: a
iislockd.exe /q /c /t:c:\urlscan
' Y* n4 A) {9 V5 i% f, R, J2 q5.如何防止Content-Location标头暴露了web服务器的内部IP地址 2 n- Q% l6 l! m6 O3 l. k3 V
执行
/ I" |* e, g3 k: {! _ cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
. \0 r+ g0 A6 B E5 \ V 最后需要重新启动iis
( j0 V! Y( D6 v, X! |( b. [6.如何解决HTTP500内部错误
! g; i# C" w K1 B Z iis http500内部错误大部分原因 " K; g& r0 H3 Q" U2 z
主要是由于iwam账号的密码不同步造成的。 # j8 y4 | R. R, C7 V: f
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 2 D: ~' C- Y8 c: d( n
执行
( V5 ^6 K( Y1 \& U' p7 I8 `* U' z cscript c:\inetpub\adminscripts\synciwam.vbs -v
& q: `8 M- R% J( j4 p, F7.如何增强iis防御SYN Flood的能力 : f5 X. ~5 g. A7 O3 G. O5 m4 H" M# [
Windows Registry Editor Version 5.00 " j( q, s7 c" ~* m7 [. G
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
' ?8 [ q1 u- f' Q& s, A 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
- s6 h/ [7 @8 Z; F 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ( k4 P d( ^; a% G, Y0 L
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
) U. j) H1 C; Q1 }: g "TcpMaxHalfOpen"=dword:00000064 5 K D0 I4 u) `1 z0 _& f* s+ C
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
( h5 R2 I0 Q* G4 b- Y, C "TcpMaxHalfOpenRetried"=dword:00000050
. e1 [' w7 o/ _' F! ^2 |7 z# i 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 1 L* I+ K8 m6 n8 J+ D
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 3 y% i, |& N( Y) k
微软站点安全推荐为2。 - |% N- E2 d4 _$ _3 E
"TcpMaxConnectResponseRetransmissions"=dword:00000001
`- a \ W3 N 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 " [# [2 P, G2 C4 k& W# I+ Z
"TcpMaxDataRetransmissions"=dword:00000003
3 z* s1 Q. O/ T. }/ u 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 ; ?' Z( t( s) [( A# `0 _0 J$ `
"TCPMaxPortsExhausted"=dword:00000005 0 h* X. M) L% \1 f5 O8 \7 P
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
9 v5 f0 V: p3 D! c6 s, v. O" ^8 \ "DisableIPSourceRouting"=dword:0000002
" n- c1 a9 } p8 t9 f0 ? 限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 8 V4 W, k0 T% s
"TcpTimedWaitDelay"=dword:0000001e 4 c8 Q: P2 v, `( q: U _
8.如何避免*mdb文件被下载 3 {8 n7 `% h( n, |
安装ms发布的urlscan工具,可以从根本上解决这个问题。 % \% D' y. e* C/ L
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 - X9 m. L) D7 q8 y0 d: D9 ^3 F
9.如何让iis的最小ntfs权限运行
+ O9 Q7 D; _3 {6 D, \* r1 y( t 依次做下面的工作: ( r" J! t& o8 R; E
a.选取整个硬盘: / S% |" U; o" [" K. b
system:完全控制 ! G0 F; ?4 }2 T6 A
administrator:完全控制
; ~4 u. I: }4 x4 y (允许将来自父系的可继承性权限传播给对象)
* v$ a$ _" ?% v' v b.\program files\common files: - [! b; p+ ]2 j
everyone:读取及运行 % ?8 Q4 d V2 D- Q
列出文件目录 8 y0 u2 i+ ^, r& |
读取 5 }* l0 t+ ]% D( F- h ~
(允许将来自父系的可继承性权限传播给对象) 6 ?6 h: u2 o4 H* D% N7 o
c.\inetpub\wwwroot:
9 L7 P. e/ y1 ?" n2 g$ L" U2 n iusr_machine:读取及运行 9 j! I# V& P4 ]: G; K' \7 B$ n
列出文件目录 0 g1 y- W e+ Q* P3 }% v" W, a$ X
读取
: d/ C8 D6 f- Q (允许将来自父系的可继承性权限传播给对象) , Q/ R; ]& l- p6 h
e.\winnt\system32: & |6 M$ d& M7 ]8 Q; C; ` L
选择除inetsrv和centsrv以外的所有目录,
* y* G9 X! f7 K7 r# j 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" c. a( ~* N/ Q/ N2 @$ c# t f.\winnt: / F# S; A1 D/ E4 {. F
选择除了downloaded program files、help、iis temporary compressed files、
; H! ^5 ?0 n. N3 x" ]0 C |! ~ offline web pages、system32、tasks、temp、web以外的所有目录
: U) h( |2 r7 N 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 . D( _. c& X4 z
g.\winnt:
# i1 M/ T# o2 w everyone:读取及运行 ! j# \+ r1 n& V& k
列出文件目录
; e; i6 t4 V" H/ Y% m8 v 读取 3 E9 n, l' U! i7 ]: A) ]
(允许将来自父系的可继承性权限传播给对象) ; I: l) c6 ~2 I# z
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
* O: T [: P! K* i everyone:修改
/ ~5 J" F( [1 T6 I8 j4 ^- \5 H (允许将来自父系的可继承性权限传播给对象)
1 D# M# }. w" A7 H9 G10.如何隐藏iis版本
8 s( C6 i+ o$ k7 u7 Y 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 * m1 Y5 c9 x7 L+ T6 m) J. V
iis存放IIS BANNER的所对应的dll文件如下:
3 l |8 }& @: ?$ K d# _- g WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
2 }2 f2 `$ `2 o8 B' ]2 n4 I8 Y FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
+ A2 S- u( O w X$ Q SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 3 }6 B3 Y) ~" L
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
, r1 f7 e( t, u) z: h 具体过程如下: ; k h3 z6 ~1 R& A, a
1.停掉iis iisreset /stop
4 t/ m7 x0 P" o# M! k8 q 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
' W7 J/ P1 P! l/ R6 U$ Q$ {* m 3.修改 |