|
一位高手整理的IIS FAQ
0 S" z1 P- H9 R$ }+ @3 P下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的! 7 R* Q6 I) a% r9 H j2 z
1.如何让asp脚本以system权限运行
/ D# H3 Q' w$ S2 P 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
# V: J; p8 H% [: J& x: D3 x+ K2.如何防止asp木马 ' |& e; q! N6 _
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
2 z2 B M! m" D2 ~2 p7 @' r regsvr32 scrrun.dll /u /s //删除 . |% K& l* G" Z, [
基于shell.application组件的asp木马
1 E/ l' K/ X" Q! h+ y, Z( d& z2 x Y( ~, L cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
5 L9 M* O" X- W8 n1 Z regsvr32 shell32.dll /u /s //删除 a9 V' L+ T: v; c3 N# s
3.如何加密asp文件
: M) c4 j6 j) f3 [# |( r; G 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 2 h' [* s r" N
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 ; f6 |9 E* [0 t9 S: E3 |1 ^
运行screnc - l vbscript source.asp destination.asp
/ |# d' a( i$ F# h1 v$ D 生成包含密文ASP脚本的新文件destination.asp
M8 s# _5 [, s/ b 用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 / A3 m k1 C% f3 G- L6 }
但无法加密中文。 9 ?" k5 f# x+ |4 u# G( y" R6 k- X
4.如何从IISLockdown中提取urlscan
2 v7 h1 x1 t- f$ e( b& m3 i2 H/ q iislockd.exe /q /c /t:c:\urlscan
: F" n" u- G* p: y6 a. h* n7 X5 {5.如何防止Content-Location标头暴露了web服务器的内部IP地址 . m$ W8 T/ M2 N2 W! v% @- y$ L
执行
+ F$ n$ q- ~2 E/ ~6 i, |. @* B cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
$ I% X9 J9 e' M6 Z 最后需要重新启动iis
& o& R3 L- G X- `0 ]9 D6.如何解决HTTP500内部错误 4 h% H: q2 Z, k- ?7 y/ w* C
iis http500内部错误大部分原因
$ @7 a- b2 p! E0 R2 W6 n5 B 主要是由于iwam账号的密码不同步造成的。
0 Q4 E% b# z' O 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 + O4 h0 R/ j9 h; ~9 C9 @6 K! Z
执行
- I0 X" m) j) m" z cscript c:\inetpub\adminscripts\synciwam.vbs -v 7 ~' l" S$ p R' x: F; l
7.如何增强iis防御SYN Flood的能力 6 z% m( |" m; U$ {( r+ N7 X/ a8 W
Windows Registry Editor Version 5.00
( H6 X' }/ h4 N+ E [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] : n( `4 W! X& ?- ~ z/ J2 s6 a
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 0 W2 |) `" Z/ e$ c
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
5 G- G5 Y5 X2 s$ F) p "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
$ A$ f9 e' d( H$ s; o7 j% ? "TcpMaxHalfOpen"=dword:00000064
; j( _5 S+ }8 b/ d% F+ H 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 ) V' v* x7 k3 L2 M% ?
"TcpMaxHalfOpenRetried"=dword:00000050
6 u1 Z7 N) @( I6 T1 K 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
; i) g- |+ [4 B4 i) d, U) G* T% a 项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
& m5 A! T u2 K( Z7 ] Z" b* p, }6 r 微软站点安全推荐为2。 J( R7 o8 k6 g) h! Q% o6 k7 ~
"TcpMaxConnectResponseRetransmissions"=dword:00000001
' M8 n7 R4 T$ ? 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
0 T% l. @* g% Z" }2 g "TcpMaxDataRetransmissions"=dword:00000003
/ X: o5 Z; N7 T% b2 Y. } g8 F% \ 设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
! F" _* F+ k! g/ F6 g7 }. J "TCPMaxPortsExhausted"=dword:00000005
) F/ U2 n/ K/ w+ e- y) ~5 @3 L; m7 L q( E 禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
( S: ^' E% d5 E$ Q9 B "DisableIPSourceRouting"=dword:0000002 : |% e9 _! P3 j% e$ s- i2 C9 b
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
, ]' \6 z; k1 W9 x$ I; h" n: h& O "TcpTimedWaitDelay"=dword:0000001e
7 O* X5 h1 J9 w" C) x8.如何避免*mdb文件被下载 + I6 w( q: z: {' o7 Y5 x: ?
安装ms发布的urlscan工具,可以从根本上解决这个问题。
; L- J9 y' J- Y3 { 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ! ]. ~: d6 q5 S
9.如何让iis的最小ntfs权限运行
" y1 }/ G6 R l, r 依次做下面的工作: " @0 y, W! X) }9 r6 f) y
a.选取整个硬盘:
; S3 p7 x, s7 T8 i9 |6 H4 S system:完全控制
( i: @8 k* S/ r6 d0 r/ k administrator:完全控制 ! ~" z3 K$ p6 g k4 {- X) R1 P
(允许将来自父系的可继承性权限传播给对象)
1 n6 M @$ D3 A7 E) { b.\program files\common files: " w5 B2 T5 ?& I( m
everyone:读取及运行 n5 Q: [7 P& r/ H6 g
列出文件目录
: X1 D" Z N0 ^ x5 B0 _$ D 读取
1 [& |% g; a$ R& U& S; O (允许将来自父系的可继承性权限传播给对象)
' T1 B5 `$ ^& |: Y( v/ X c.\inetpub\wwwroot: # i+ {3 V7 S0 x4 x8 P5 j7 Q; D
iusr_machine:读取及运行
, {4 z8 M1 \2 Z" K5 s( p! q 列出文件目录 ]4 I8 i, @9 k; j( c' ]% n( I
读取
$ _" Y* G. K) P" F( p2 w (允许将来自父系的可继承性权限传播给对象) & } _; x1 z3 M5 ?( ]. n3 o
e.\winnt\system32:
& P8 j! g0 x- G( }4 U5 ]0 W 选择除inetsrv和centsrv以外的所有目录, & |& ]+ K' T+ q, }& r9 ^7 I5 \: I
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 $ s4 |6 S4 {0 K O6 q* u, }' u/ @
f.\winnt: 5 O# m9 R( R& E4 y1 c B
选择除了downloaded program files、help、iis temporary compressed files、 / g7 a5 r. J# \5 n
offline web pages、system32、tasks、temp、web以外的所有目录
" ~1 V" ~5 D0 G( M4 L 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 + C; h1 C" b1 g" A; D6 Q7 Q2 d
g.\winnt:
% I; z. r! e4 i9 ^4 ^% a everyone:读取及运行
7 K- G6 w; Q* e: E/ X( z. J 列出文件目录 6 K; w2 K& z2 r) u7 `
读取 + p) ]0 K" G, ]# }, p) a
(允许将来自父系的可继承性权限传播给对象) / X6 L" I& v, J3 n2 Z
h.\winnt\temp:(允许访问数据库并显示在asp页面上) / I$ y* d' G9 P9 T. s- L& l3 S
everyone:修改
/ U/ N6 `) {; O3 C- _ (允许将来自父系的可继承性权限传播给对象)
; R- n/ `- L6 J% t10.如何隐藏iis版本 + N6 X) {3 c/ C
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 : I% w$ Z+ S! O7 _1 d5 T- g
iis存放IIS BANNER的所对应的dll文件如下: + X+ o0 z \" y1 W [- ~4 ~- [$ x5 B
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL * C2 w) h& I9 z p7 H
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
6 a/ ~# H. S2 e7 a SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
, i- [7 F+ `4 K% X: {* v4 v! E 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 - G0 p) d& H/ G) l1 G3 j
具体过程如下: ) B1 } O& f3 v; ^* y! V
1.停掉iis iisreset /stop
" E0 j8 S; y, p 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 9 F% \7 T' Z+ n, g# P
3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
