一位高手整理的IIS FAQ
; x- S1 M1 V7 r下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! & m0 p- K. G1 p2 h( M" s
1.如何让asp脚本以system权限运行 8 @% Q& Y: a( u! F
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
& g3 \1 v. V2 ~1 q" G& c" h2.如何防止asp木马 + J+ h7 ?3 C( W! W6 \+ E
基于FileSystemObject组件的asp木马 cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 & S9 ~$ x3 M/ q6 I
regsvr32 scrrun.dll /u /s //删除 * E/ d2 o' b( r! ^7 O3 D; ^; z- d
基于shell.application组件的asp木马 # n8 u+ F! ]+ Z7 c$ G8 c; D" G, C
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
+ P5 `+ s( l+ e regsvr32 shell32.dll /u /s //删除 ! ^4 k, m8 x' D. | F- N
3.如何加密asp文件
8 ^/ v. N( g v# }0 m' Y 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 " s# }6 X2 k& f) K5 D
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
6 ~- s7 W5 ?; @1 Q. ` 运行screnc - l vbscript source.asp destination.asp
. E9 q: {/ F1 H" M3 e/ e 生成包含密文ASP脚本的新文件destination.asp
. A) y; V9 }* G 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
1 ]$ f Z) F5 d 但无法加密中文。 * b# \+ [4 j9 C' N8 N# a, z. }( {4 ?' G
4.如何从IISLockdown中提取urlscan 7 _8 C. W9 H9 i! y6 B
iislockd.exe /q /c /t:c:\urlscan + B* T. V S9 i' Z5 I+ [: [
5.如何防止Content-Location标头暴露了web服务器的内部IP地址 $ z; g) h8 T: @8 G3 i% y
执行
5 F1 c/ ?% G3 F0 Q+ m" z& d cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
1 h# J8 a, b9 }5 M 最后需要重新启动iis
, D b. |; @ v8 _6.如何解决HTTP500内部错误 0 Z3 o2 c* r( t- y% ~% g
iis http500内部错误大部分原因
8 C0 A" Z& o1 c0 R) h2 P+ O 主要是由于iwam账号的密码不同步造成的。 $ c4 m6 V( |! T. I5 f
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 1 |- V& O, }: M. H
执行 : L# f% D% |3 A0 f3 ]
cscript c:\inetpub\adminscripts\synciwam.vbs -v ; M% J. M5 }# A
7.如何增强iis防御SYN Flood的能力 " W, Z0 y# y5 n" R: E# g
Windows Registry Editor Version 5.00
6 I4 u) D. u% A* E }$ Z [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
* j" B* r8 Y9 Z8 W( y 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
3 N; t0 G9 X, u2 Q: x& s$ z 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 ( A5 M5 v' B% f& ^0 S
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 @/ v' c& Z" F "TcpMaxHalfOpen"=dword:00000064
1 \/ m0 c) q/ T+ W# W: \ 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
& e3 ~6 l! \# _& q$ u3 j$ w& i "TcpMaxHalfOpenRetried"=dword:00000050
) m6 P6 o8 c. R* s 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
3 y: n; \( d' ?9 x 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 $ L# ^6 z; _* q( y1 k! ]2 A, w; l
微软站点安全推荐为2。
& ? C v. T* k$ h: r5 N, r. ` "TcpMaxConnectResponseRetransmissions"=dword:00000001
; N$ M; j3 t1 f. | 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 : U! I# X8 `4 i. T( [
"TcpMaxDataRetransmissions"=dword:00000003
8 ?" f7 E- H/ Q- Q+ F: X- l5 z 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 w- g& G* s- Y; X; H4 @ Y "TCPMaxPortsExhausted"=dword:00000005 8 G: B, @8 k( W
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
, ^2 @) M+ C I% r, ? "DisableIPSourceRouting"=dword:0000002 % J9 i8 o9 F4 _* G
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 ' C: p: i6 R" _. U0 l
"TcpTimedWaitDelay"=dword:0000001e 7 \1 v4 b6 [0 Y4 y* C6 q
8.如何避免*mdb文件被下载
* L0 ]* S) r: K2 c* j; }% o2 m 安装ms发布的urlscan工具,可以从根本上解决这个问题。 3 q4 g" U! L' O( v
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 1 D J9 s, P( @$ |4 c! b' M6 R; @
9.如何让iis的最小ntfs权限运行
, \! C- k4 S# c% c& r1 T3 a; ^- S7 E 依次做下面的工作: ) o- Z. [$ z2 C4 \& T8 B; _3 a
a.选取整个硬盘:
3 p( y2 T9 W! w$ Y. A system:完全控制
# G5 ]9 m9 i$ D& _3 ^9 d% l6 N, X( J! Q8 u administrator:完全控制 + |( f( ^4 P: Z& m% T* d9 d/ X
(允许将来自父系的可继承性权限传播给对象)
- w6 |: t) z2 w+ J! y( p3 J8 I b.\program files\common files:
$ w4 q8 W$ }8 U. l* h, j everyone:读取及运行
( M6 _; k3 E* ^" e 列出文件目录
) s2 t/ N: O( E! z: R1 m" O' ? 读取 ( @2 c7 z" Q) c4 @' z" f4 R
(允许将来自父系的可继承性权限传播给对象) + Y/ m, m2 F% W
c.\inetpub\wwwroot:
8 P- B* o& r% f+ b iusr_machine:读取及运行
E6 c4 A$ W( m2 h; O; U 列出文件目录 3 G: C+ u3 ^& S) g9 Q
读取
$ l" q& K) }0 B) a (允许将来自父系的可继承性权限传播给对象)
1 R* m2 c% Y! d! b$ _5 X e.\winnt\system32: " l) t3 |% T$ S2 i
选择除inetsrv和centsrv以外的所有目录,
* `- J+ K9 U2 ` 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 ; R5 W, d/ \' {1 t% F5 r7 k
f.\winnt: 5 K% V: U: m5 V: c# l0 B, f
选择除了downloaded program files、help、iis temporary compressed files、
# A" |& |, |. u( f! Y' V offline web pages、system32、tasks、temp、web以外的所有目录 # m/ ^/ K8 H4 {! [1 E; x- R
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* `- L$ ^; l' x* H2 G4 Z g.\winnt:
; p" l7 u$ R2 h+ Y3 T8 g1 r# P9 M: Q everyone:读取及运行
7 z6 u* U) w+ c* s 列出文件目录 . O1 T8 \) m& s4 e/ B
读取
5 z1 `0 v: F! X, W! U4 Z. l. ^ (允许将来自父系的可继承性权限传播给对象)
; v' w8 m9 m( F$ t& [* o h.\winnt\temp:(允许访问数据库并显示在asp页面上)
u! \2 W: o+ R9 z& E$ E everyone:修改
: K1 L( Q3 O0 `; m$ @ V- | (允许将来自父系的可继承性权限传播给对象) 5 w6 Z. S6 H9 O: O6 R0 ` K/ h, b
10.如何隐藏iis版本 ; y m0 g' x! P1 G0 B
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
! b" g5 z3 o. f) a/ a iis存放IIS BANNER的所对应的dll文件如下: , K5 S. @* z& ?9 q* x# j o
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL 5 V; Y5 S/ P- p# R6 C! h$ Y. \
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
# M7 `3 [& L' D% |' e; N$ g SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
8 s2 O: Z/ M' U0 s 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 & l8 G5 Y& H3 G% @3 w7 a7 e
具体过程如下:
) Z' [2 h5 g- Y" s: M& B' P 1.停掉iis iisreset /stop
; O) K3 I/ P2 b/ [) a 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 2 f9 G! g. B% Q+ e1 E! s. [3 v
3.修改 |