一位高手整理的IIS FAQ (看看也好)
1.如何让asp脚本以system权限运行? ; E9 _3 `6 d2 y) Q3 }
* k5 U0 r2 ]1 P& Z& v/ \7 x! s3 m
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
( f7 v# V8 }9 i3 c. o9 ~0 s* V9 ^" {" n* N# A; a
2.如何防止asp木马?
) m; s1 T/ B8 C1 h# R: N/ I6 _
+ ^9 v2 C+ Q O. I9 w; g$ g4 J 基于FileSystemObject组件的asp木马
( M- N2 H0 l% ]+ c) o( S
7 {4 U g6 u! A U cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
: E: O& z. E) M0 v1 l: z! M7 K( I6 f
regsvr32 scrrun.dll /u /s //删除
2 A0 }. R: T, Z$ f- |, @' P
- v9 O0 b- A6 V& m+ _$ F 基于shell.application组件的asp木马 + V+ {! R6 L0 X& U! u
A# @- _0 E$ ~ cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
+ v9 m; w; y9 u1 E! }, a" }
5 p2 L% f& D3 n1 e6 W/ n" R regsvr32 shell32.dll /u /s //删除 5 h2 E9 \4 c& u) s+ i+ A- J
5 g6 p |/ n1 |& t2 D
3.如何加密asp文件? 4 o% h N F4 |+ g
4 }8 c3 z+ K; i: X; b, R7 R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
6 [1 Q$ [1 I* s, E5 b. Q. c5 w% W3 D
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
9 h* |) F$ S9 `' R# r$ |5 ^* S3 r) G' o5 s
运行screnc - l vbscript source.asp destination.asp # ~0 N5 J' ]! Q1 j1 a( I$ B
; {8 ~, C8 a2 K& `8 C8 F* \+ `
生成包含密文ASP脚本的新文件destination.asp
+ s9 g& d z/ |4 q Z" p7 T2 n( [1 ~( `& v# }+ x5 y
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 6 S& ^$ L' m0 s& o
" F8 T9 n, s8 S5 U( \3 N& k* \( ] 但无法加密中文。
* u# x0 ~# d( N; D' l* |( k. \! E' _; ~& h" E" U( Y- D
4.如何从IISLockdown中提取urlscan? ' _; {( Q6 p; O2 w* ^7 M
4 ?. o4 ~1 }5 J: ^
iislockd.exe /q /c /t:c:\urlscan
9 {3 z; G" ]* z! [2 T, E$ }4 m+ l: o/ m! u: Y' |
5.如何防止Content-Location标头暴露了web服务器的内部IP地址? : g2 J9 t% p, c% ~
' V- l0 N$ u( |) [; \, `) ]
执行
, l! d, d2 c3 J: E, E4 `* j
* M7 v: M( T2 T) b" L5 @ cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
9 w: }1 O1 b" ]' X' }5 u
6 _6 y7 y* A: @: J' m( [ 最后需要重新启动iis . X& }3 I7 ?5 k2 h2 r0 Y
# q) @; O H9 c2 x6 X 6.如何解决HTTP500内部错误?
$ Z! C( w n' A: O0 m
, g) H7 d8 E' C8 [ J iis http500内部错误大部分原因
6 j3 L8 e; u w5 B/ U' v% {6 \
主要是由于iwam账号的密码不同步造成的。
2 O4 `( c; @" u* }3 v9 _
4 `* ^9 B" z. A7 y( n 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 v {6 f% m+ D' F( x; g" c# q! X( p* X% {2 H7 |' I( q/ x
执行 # m$ }: j# c$ R! ~
$ i4 i, n& U1 ], i4 {# @" _ cscript c:\inetpub\adminscripts\synciwam.vbs -v
v, p1 v5 T; c; O2 H8 Y# j0 _) F+ f 7.如何增强iis防御SYN Flood的能力?
( [0 |5 n1 a l: G& o X( a2 C V+ L2 i( y! @( B
Windows Registry Editor Version 5.00
9 m* D' q' v8 Y. B% E9 h& C
( H: u7 p( G" A3 G9 Z. l [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] : Q% h3 {0 F) r
& ~5 h" s7 \8 `0 i4 ^* c
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
- j* u4 S7 k- W! [
/ y8 M1 p% `- s '安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
+ v: f- @. `% x# V5 T: @
0 {* j2 q9 c( Y6 t '设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
8 P3 A# A6 a6 W% L' S
6 v7 [' s1 k- R7 j+ m "SynAttackProtect"=dword:00000002
( J( c, v" s( O) L0 Q
" f+ Y {" J. }: Z; X& j* y '同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
! G I# g& u6 V' t4 ~8 u% n9 b& T( z6 q" Q
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( |2 l6 E; s) M9 a' h; {7 M* y6 G8 h! h/ s+ s
"TcpMaxHalfOpen"=dword:00000064 * l* ]: S/ V/ u
+ a% f5 D8 U; i
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
1 O2 p. I7 l+ j0 r" c6 X0 G6 y% g* W* X2 e! B8 O" j2 q
"TcpMaxHalfOpenRetried"=dword:00000050
6 @: ^& ^ K' z' ~, Y8 W, U% m6 O$ D- l( W
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 3 E/ m) F' j+ \0 i3 X+ L
) g5 s0 v$ `" O* ?: i" m2 g
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
, g# e6 d- r! K6 S+ P9 M# {% [# ?. b9 j! Q
'微软站点安全推荐为2。
2 k- w$ M* G& n) ?3 ~9 e$ T5 R2 F2 g; x" b& q* [+ C
"TcpMaxConnectResponseRetransmissions"=dword:00000001
4 \( k7 J0 x9 z' [0 ?4 H, f$ K# o# Z* J3 [1 K# U/ Y* ]4 A9 Z3 _3 z+ J
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 1 i. n* {! ~- {( M4 `- L
4 `# X# N5 t0 p "TcpMaxDataRetransmissions"=dword:00000003 * O# m3 T, m% d: R% Q
* |9 c7 h/ ~2 k) h+ E& @' f '设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ s+ r, N6 n) T/ z# T _
4 i+ n2 P: m( a! G. j! {0 u2 N2 X "TCPMaxPortsExhausted"=dword:00000005
8 _1 [! P+ j& F' y# z& n6 a0 s5 L: K
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的 0 N% @! x7 y+ f2 Q2 S: F' E0 v! ?
) ~" K# E9 D% a# y; @: S
'源路由包,微软站点安全推荐为2。
7 V7 S7 @3 U4 O6 q8 p" v2 h
3 J! F6 o d0 a* Z( @+ r "DisableIPSourceRouting"=dword:0000002 9 z# a3 M, j% o. Y6 _) F$ O1 P6 G
# t. Z8 _' Q/ Q3 L @
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
D- o# X& M% ?4 V! H Z2 j% D- h9 n0 v' ?
"TcpTimedWaitDelay"=dword:0000001e
0 c" b5 z( P8 \( @ 8.如何避免*mdb文件被下载? 6 r5 E5 L8 y4 A' D
) ?& n; s: C, k4 j& h! _$ b 安装ms发布的urlscan工具,可以从根本上解决这个问题。
# {) o3 F8 w1 Y9 I* o' Z+ X9 @6 F4 v: [* Z( P; [9 f' b
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 8 _. a1 `4 _1 f0 g) ?" L% [
2 g# q J; ^) D
9.如何让iis的最小ntfs权限运行?
' [% N3 t( P/ s, e4 G4 v
8 n n9 d2 t, M0 `% T% f" N& g 依次做下面的工作:
! C7 ^: ]$ c7 F8 `0 v( B' R
' j# {0 ~$ W( \7 O& y6 X a.选取整个硬盘:
# G" S( `' c# P* G4 N
7 U( ]2 d1 b9 q7 D3 B system:完全控制
/ w$ ?% h; \- N4 _+ E% W1 X
; s" C7 \# m( i, c administrator:完全控制 s3 o. o# M& K: |. _- _0 @& D
) H$ S. U9 H" c/ Y Q (允许将来自父系的可继承性权限传播给对象)
+ f' {3 W" v2 X
2 {5 E2 I( u1 W5 y" `- p b.\program files\common files: 7 h: \& }, q6 M g' E4 Y" @
+ E, z) b( B" [, T& ?% {/ A everyone:读取及运行
. P) U9 M O. g" c& ~0 X+ G/ T$ m( R4 v* K
列出文件目录
3 z' _- `/ m8 a& i) i0 R7 b. v( A0 o' `/ [3 i. |3 T: ]
读取 2 u; y7 E( I0 p8 G; s: V& {, C
7 V* L$ y; T( _ k: p* g! v7 L# N (允许将来自父系的可继承性权限传播给对象) ! T- w# o+ q# _( V2 A- w. u
4 L6 f j2 P1 \
c.\inetpub\wwwroot: & Q) y/ i: r2 l8 o
% i3 N8 y4 g4 ]2 j" }
iusr_machine:读取及运行 , t- U1 a) ?2 u; B
# L% x7 v$ V9 \" ~& f
列出文件目录
2 k( t ~* |4 J& f% K. _/ c; A8 t/ [1 o2 v$ W6 S% j! u- [
读取 . ?5 `2 y! D- _ j; [
1 _$ G, Y. { o4 f) c. \ (允许将来自父系的可继承性权限传播给对象)
/ X0 e6 e' P0 U8 s7 N; M% ^3 _" O
9 q$ @" T8 M7 }5 d6 I# u e.\winnt\system32:
/ I* J' i) u1 Q' t5 z. C8 c
2 A, A& y9 V6 M2 H% d% X# x; C 选择除inetsrv和centsrv以外的所有目录,
% o2 u) O9 b, B( m, h/ [. M
' s) q. n; R( | 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 & [: k2 b: k! b6 y" a0 Z# y
2 |" Y. A) G* x& h( @5 K' M f.\winnt:
8 Z2 D; C$ s, D4 R( l5 I! z) A0 c4 ^/ J7 _, u- A7 F
选择除了downloaded program files、help、iis temporary compressed files、 / U4 R, `- q' ?% L
1 d9 P% N/ C- ^* U8 ?' T
offline web pages、system32、tasks、temp、web以外的所有目录
& B" T) z3 E2 U4 G2 I( M+ n
: n- f6 X( W \3 O* f* x- j 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# O- n) |8 n: t t4 M
& S; V- L# [8 _ g.\winnt: & h; J1 n5 k0 m8 S+ X
& V; I7 Y w3 Q H
everyone:读取及运行 + i6 L. S' V/ h0 ~& E
' d# T1 v9 }& O/ s% s 列出文件目录 1 M. e; t- t& z5 ?. P! p
1 S4 t! E2 t G3 f' L* h
读取 3 ]9 J( x! o8 }2 e% f
; H K; O K1 @
(允许将来自父系的可继承性权限传播给对象) 6 y8 @6 ^1 I3 f" a: p
' y8 F) M4 n4 ~. e
h.\winnt\temp:(允许访问数据库并显示在asp页面上) 3 H* t D }7 C! m$ _
, t: z& A8 R$ P) k9 s. g) a$ n everyone:修改 M: V$ p( @' v
0 `% |, A _ q2 M! D
(允许将来自父系的可继承性权限传播给对象) $ b3 W" `5 L* r6 c
6 b& @. R4 y5 _& y' `, M 10.如何隐藏iis版本?
! A/ A2 y) X; m
# G, o0 }9 j/ {6 I0 r# \- ^ 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
4 C7 i/ }& ~' O0 D2 l$ i+ f+ F& o( M& ~( A! X5 P; j' c
iis存放IIS BANNER的所对应的dll文件如下: 8 j/ B ~4 D1 I" l3 j' }! E! B
4 _2 `- g) D- E& K: s7 R
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
' Q/ I F; Y% F) N1 q. \3 g( V0 H* m" \- G; I E
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL / @8 d7 s5 D8 I+ `
4 Z/ n3 n( s2 c* V9 ` SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
' i2 W' E( |7 i, w
4 ~& W' R8 I4 P! J+ q2 ]; _ 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 l' ]" t, y4 w4 z3 `
' h3 g/ w% o5 _5 k" X
具体过程如下: % I' ^1 R: j1 R4 D! y% b' \0 O! e
1 V4 r: v% O6 @2 ^, w5 R6 [ 1.停掉iis iisreset /stop % t) `- U- S4 g4 u/ k U
+ v: y+ J3 X. L! U, k. B' I1 v6 n 2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 & @+ M+ x3 G6 n6 a7 z. ^5 X
- m% h5 j' q6 u6 R# b4 ^ 3.修改
