广西经贸职业技术学院论坛

标题: [建站技术]网站服务器IIS常见问题完全解析 [打印本页]
作者: 月中水    时间: 2009-10-16 01:35
标题: [建站技术]网站服务器IIS常见问题完全解析
1.如何让asp脚本以system权限运行?
; _% B5 W' j7 F3 V3 b
9 f1 \* b1 z; Y0 M5 ]! R修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% \0 n# [* B+ t8 ]; H4 v$ b: K( Y5 v+ U9 B: @3 S
2.如何防止asp木马?
+ s/ A- d; E: V9 _6 n, i+ C3 W1 e/ ]" k9 g
基于FileSystemObject组件的asp木马) i' C$ P7 \, u

( W$ E; t8 J, O' g" t' j2 F7 Xcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
5 ~! O- i6 q; G& x( y* c( H( j6 p
( w( a" q, E9 ]regsvr32 scrrun.dll /u /s //删除
3 |9 W5 L3 `9 J8 z  y" o, B! q* ^- K4 [9 K1 j
基于shell.application组件的asp木马4 l7 G1 p' O1 l: W

# Z) x1 x. c+ Q+ i% Lcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用. K/ t; D+ w# C' f( |& \) N! p

0 x8 A5 w+ }0 o8 q4 f$ kregsvr32 shell32.dll /u /s //删除
  x% J; L2 j) \% d
% m1 A" e, x+ w- Y) r! M3.如何加密asp文件?8 W* t- n- p. t
9 k# q' b) H$ q; w% i
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。: M1 c# o3 z. G. R; T

) ?, O$ u! \2 N: t安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。9 O: ^# r9 p' `

# G9 d3 i4 a4 s% H运行screnc - l vbscript source.asp destination.asp: W' ]# e4 D9 g* J

- e$ C  N. t! ^6 H: z1 ]" R生成包含密文ASP脚本的新文件destination.asp7 P( g( _/ }4 V1 l/ B  h8 N
/ P- J+ R. Q% t- s" p5 n
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
1 k3 y# j9 v: {9 _/ T  Y0 [. @8 [( b3 n( {5 C. M, ^/ i; P
但无法加密中文。- }% P1 P' I% e3 U
+ u& ?* g3 @, z0 |. c# L5 W
4.如何从IISLockdown中提取urlscan?
; }2 R/ L0 K$ F) }6 C
2 ]- S, {' n8 {1 eiislockd.exe /q /c /t:c:\urlscan
: B1 J0 H$ d8 Q: j. ~( q4 M4 Z4 m: M- u% z3 m- w7 q2 w! Z
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?. U/ U, L8 K& {1 ^. S  Y- @7 K2 l
, S: C9 O- @; B- a. c7 p" p
执行( ?" f; T' p7 y. {3 U, V2 k9 u+ S
' o$ N9 T  I* ?
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
( B% O$ k8 L" N- F. \
; T. o0 n) l; `. ^& J3 A最后需要重新启动iis
7 \; {) f0 n2 i+ O) n
, O$ U, H8 W" o& o5 m+ x6.如何解决HTTP500内部错误?
/ K$ m* q( I; ~3 q' j# k5 \1 @: P* c! ]" R8 }. y/ a/ ?' N5 K
iis http500内部错误大部分原因7 L7 q5 q+ Y  c$ x* G' U/ n6 e: K
9 Q& k2 z) C6 C( u' v
主要是由于iwam账号的密码不同步造成的。
5 N2 F4 i6 r4 b; Y6 ]% V0 q+ l, K7 t% L) T
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
9 p6 O$ ?% H$ L% m" ]# T
1 r9 V& v2 f% r! m3 Z6 n  c* _6 e5 \执行2 q' C  r- o$ @+ y3 I3 }5 u& o

' L" o' l! J5 J* ]2 p  f7 H* L4 a5 _cscript c:\inetpub\adminscripts\synciwam.vbs -v/ B' R. m: M$ Z8 S  K" o  _* h8 s+ U

2 U4 i! p9 L1 H1 B" w6 q3 j7.如何增强iis防御SYN Flood的能力?  h- E/ u% {4 |9 r- P

, a5 a' d8 T+ q9 V; S$ iWindows Registry Editor Version 5.007 Y* N, U: L% [

  d( a/ M8 M( u+ U! v0 B[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
  I( [1 X& Z& Q4 v' b+ ?, f$ @/ }+ W- Q) P
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
5 `1 Y& h$ j6 T& [8 c7 w5 {1 f! [* G$ @4 E
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值( g/ G3 a! N) u) r( j: S
" @8 c. L/ w& C8 q1 e$ n
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
) s" y& p2 w5 {1 U0 Z7 ^! O
+ u8 M9 v7 Z5 {# ]% {5 ]"SynAttackProtect"=dword:00000002
0 U$ _% h3 Q+ h7 S7 e
4 ]; o! k5 P% M. t. e'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态7 J- D5 D& Y4 A! b' }

' m* b7 k" p# M. J- K! u) a$ E'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。8 F4 f: n2 @5 g- B! D% n+ r7 z( m

5 ~5 {: Z! {) V: U/ a( H: U"TcpMaxHalfOpen"=dword:00000064) c8 z. a, ]" U! }5 r* v
% Z) G9 L1 U" i% v6 @) P
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
# D: Z6 {% S$ l4 n% ~8 ]. x6 S# c2 A/ B! p' a& C
"TcpMaxHalfOpenRetried"=dword:000000509 B0 z7 I6 B% B4 Q- q# q/ Z3 B

6 {) n8 J! f4 B( B'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
5 Y8 f& N7 E4 \) l/ O; J, |1 i3 ]8 z' ^) q# I
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。$ U( R/ W0 O, k/ q

. k1 X0 s# y) L' Z: _+ O'微软站点安全推荐为2。
3 |& R  W% O, t9 B7 g6 h8 Y5 B# J+ e0 f2 G; x0 v
"TcpMaxConnectResponseRetransmissions"=dword:00000001: n( c2 B* ~- `1 x* Z' W4 Q1 B" c
  ^  R, [+ h2 [) S8 O
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。! @) [) [4 n- A+ m: P  M) ^
3 @5 g: C) b' Y- E, \3 H
"TcpMaxDataRetransmissions"=dword:00000003* a9 |) d. i3 e/ P! I6 i4 o4 E
3 G+ h8 C$ ^! u; ~- I3 U4 T' V" x
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。; z9 \+ U, E& m* q

, Y" y9 ?; n+ z"TCPMaxPortsExhausted"=dword:000000053 H6 d  |& R+ G

& i! D& T8 T  p8 I4 T5 Z; F6 f9 p'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
! d! O4 |' o9 j# v! h/ F5 g; J7 X6 w) ~5 q5 v
'源路由包,微软站点安全推荐为2。* \5 n7 C: G3 g/ d2 G

  @! ?( M! \$ c" e9 K9 V"DisableIPSourceRouting"=dword:0000002
) v2 b4 g& T* k2 D( Q9 Y1 ?
% E( `1 x. V9 Y, z, f9 T'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: X) d( J/ j; A) W* L
; J7 N/ P6 V: C" b"TcpTimedWaitDelay"=dword:0000001e
, c0 O8 E- o8 k$ k
) k- M; Z  a) b: B8.如何避免*mdb文件被下载?* g* U2 ~4 q3 r6 i8 u' Z

' B) X1 K2 {9 \/ w安装ms发布的urlscan工具,可以从根本上解决这个问题。
( ~* l9 I. n! y; w. w
# e* w8 _. L2 T: A* {* G同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。8 l8 v* K- @) B2 I
( T4 r5 ?1 _/ D* k* M+ j
9.如何让iis的最小ntfs权限运行?
& L( D9 @7 M  D3 ^9 q9 L. k1 ]
: T2 D. W  i8 Y9 x1 s/ s依次做下面的工作:& P; B0 l# V$ ~
7 a4 o% T, s1 A# P- d( f2 F' f
a.选取整个硬盘:% I% I: n+ T6 e) V; X% o
& e9 W' ?9 K: d4 ?5 P0 n
system:完全控制
( {8 q1 ], g7 W2 x( ]6 g
" e5 S  \! _2 O3 M; a. y) Y  |administrator:完全控制, {, `: h6 i( U0 p! o( h6 R% I3 f
+ Z8 H  r- d. O8 Z8 s
(允许将来自父系的可继承性权限传播给对象)
' Q# Z4 u5 `+ ?, }- d
- c! v" q' Z/ R# s4 u/ Z6 w% z4 Fb.\program files\common files:6 ], O1 r: R3 X. k" h  t; k: B  y

9 A! n% i  W" a3 J" Xeveryone:读取及运行
2 G" K2 ~+ I% s7 t, Z; V/ |: O
* @9 {, ~& C% j( F% c& H0 I列出文件目录  U' o2 H- H9 p. r

' M- ?1 i! _5 `" E读取
9 W& Q% v3 r& a& x  n+ A; d( P( n0 K6 U9 s0 f
(允许将来自父系的可继承性权限传播给对象)- W& y' R2 f! s4 x
# G' X2 @( `3 ~$ L
c.\inetpub\wwwroot:
. Z4 h3 l$ [1 l% d5 ]
4 h  @- T+ n8 J: kiusr_machine:读取及运行
, I( q8 ?3 a( H7 b  ]. z8 H
$ C+ o* n8 o# f; r9 J列出文件目录
, r! ?9 u" @: _2 A& n. G% M1 R1 S2 M9 o
读取
4 ~( z* T' ?- m0 ]& t$ K7 y- T
, R% H. M% C3 p  ?(允许将来自父系的可继承性权限传播给对象)) w5 L- i" \7 ^, }

0 u% q! V* d, R! D. @/ Ge.\winnt\system32:
" l# m& j9 g( f) H) U2 V* `7 C$ y1 G, [3 r. S4 c0 K
选择除inetsrv和centsrv以外的所有目录,7 s0 m/ \+ A/ e1 z
/ E0 U3 c6 a" {7 r
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。; k$ V' F' q! R

/ _8 q6 t! Z# m6 ff.\winnt:
4 Z( @2 j! b: @2 C2 r" y* ~! b
% R$ d( ^. M  A; h* j选择除了downloaded program files、help、iis temporary compressed files、$ j$ }& S0 G1 E1 i2 Q) Y

% S* t1 a  |0 M) K/ H* Q9 goffline web pages、system32、tasks、temp、web以外的所有目录
/ t1 R: O& I" a2 d8 L" I( m% l' p; ?6 N: z) R1 t4 b% ?+ Q" c
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。7 t2 ]# n" r- [+ S: k
. Y1 H$ {9 L6 [" f" ~; s- ]
g.\winnt:
2 i0 i) Z) E, v! j5 }+ r$ n6 F1 K! k+ [  t4 \+ v
everyone:读取及运行# l, p* y4 Y0 W$ U
9 h4 ^- W4 o' B8 E  h% i# l$ i
列出文件目录
- v! N+ C( s+ b% z  m6 Z4 `$ A
7 @0 L7 k0 j* y读取6 r( L  A+ S% _2 v+ F$ y

0 @! t0 X* x: f; {! @(允许将来自父系的可继承性权限传播给对象)3 N" R% R8 M# D# R2 ]! L
- H3 q4 T+ r: }
h.\winnt\temp:(允许访问数据库并显示在asp页面上)& s( [* [3 x7 ?$ \/ H" A, o) E& }/ c

' ^( a: T4 K6 n0 D7 e6 x4 Leveryone:修改
2 Z/ O3 }9 u4 z; e: S
4 c: x+ i0 m5 r4 I3 `" h(允许将来自父系的可继承性权限传播给对象)3 E3 x4 V* ]" I: l, W0 a
4 G' _0 q; ~( M  s& c
10.如何隐藏iis版本?
0 s2 Z& W2 w- I$ ?. M# F8 A# c9 }9 }: P% k4 A% Z) q3 n
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
; _" n. U5 p* ?/ c; O6 d& X6 z. L
: X4 \- |) s& Liis存放IIS BANNER的所对应的dll文件如下:
9 i, Z! h8 ~4 V$ X% H) U: R7 V, n$ _4 b
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
/ N3 v$ D/ I7 _
% n/ v# M  s: N& [FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL' e( ^: u0 I6 j; ~! \

4 m% K4 i" @( G; U# R# s2 ]SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
+ f$ D- T# E' g/ O' L5 z! W9 r; i) |8 c; ?
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0) ]3 p. _3 V' {2 o8 u; a
" y6 H' Y: I4 q% x5 K
具体过程如下:
9 o: d& L0 N0 @% k* M# O# t) f& U/ r& |6 s' D, @
1.停掉iis iisreset /stop
0 q, E! n3 [9 |: e. z9 D6 P- J0 n; \7 d: \' }( n, s
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件



欢迎光临 广西经贸职业技术学院论坛 (http://gxjmbbs.com/) Powered by Discuz! X3.2