飞翔无限fxwx.com广西经贸职业技术学院论坛
标题:
[建站技术]网站服务器IIS常见问题完全解析
[打印本页]
作者:
月中水
时间:
2009-10-16 01:35
标题:
[建站技术]网站服务器IIS常见问题完全解析
1.如何让asp脚本以system权限运行?
, n. [7 w F8 F- _8 P
3 ^2 i- U7 |7 ?# O4 K. p: }
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
+ H, |! O0 T# e
. T8 G2 X- C+ }( _
2.如何防止asp木马?
' E8 d3 ^- {3 C# q% N3 t6 b3 M
; G, O0 C2 z k; y% q5 d
基于FileSystemObject组件的asp木马
: v \- Z, \ q
/ i* e) g1 O, `: A& _9 B, {$ i( O
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
5 C" `* S% F- `- r
9 _, x4 A( t4 U
regsvr32 scrrun.dll /u /s //删除
) |4 P: [! i- _+ ^, d
/ D" ~9 V) [) }" S. y6 G' g
基于shell.application组件的asp木马
% C1 z ~, g* v3 Y( [
3 C! `, z) X0 Z4 K2 h
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
- C7 g5 p+ \# K5 w! |7 k
# G2 d( e( ?) [ ]: L, k2 G o
regsvr32 shell32.dll /u /s //删除
1 r7 C* p1 S: _! H) m6 g# O
! T* E* D0 b2 m) K! }# n" i
3.如何加密asp文件?
" k4 `1 n2 f6 s. @; h- z
r# x& a2 g+ o
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
; |! n9 v" b8 ?
" P) ?+ j: Q: w( j2 B, ]
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- e. |0 c0 U) n+ j9 v% p& o
2 `) x3 w2 ]# g9 H) B: I
运行screnc - l vbscript source.asp destination.asp
+ W: h! [. }8 V# G% t
o- n' d* {9 G4 P. C
生成包含密文ASP脚本的新文件destination.asp
2 d& r5 W8 X6 d9 l/ \- D
- m9 y6 k( ]2 K: X! N9 t# e5 K
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
' \8 m1 n J& t0 x- j
* `, F( u" s4 e: }2 R, z
但无法加密中文。
4 Z* W: g$ P$ u
3 u) {0 e1 i3 `
4.如何从IISLockdown中提取urlscan?
& T& }2 d6 b. K9 {* {& e& c1 E6 B7 p
3 q% [5 H, b# U0 p4 k
iislockd.exe /q /c /t:c:\urlscan
) d1 N3 Y6 [: W, I
! n I0 n7 N2 L3 c2 O$ S: y# a
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
! E! ?% G" L1 f+ F
3 f3 k; l3 z, [( ?" Q& a2 s
执行
: E; _8 C3 s- C
: N$ x; w3 @# h; _5 K
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
2 c& N% M1 N3 e# F% `) h
, f. f8 I8 `' [" ~
最后需要重新启动iis
7 y* w" j. Y8 p8 C7 J( w1 h8 U. T
6 l7 V1 B% [9 D1 P# `
6.如何解决HTTP500内部错误?
A: G' y7 n2 d8 ?: A
* r1 C* A, S2 N* R5 |9 [; E
iis http500内部错误大部分原因
& Q4 r, c. ~) O9 w
. D1 v7 S. v' H/ y$ |; m# \
主要是由于iwam账号的密码不同步造成的。
& Y6 S) `# m+ r7 w. |
8 g8 K: D3 ]' Z- W* ?# j
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
; Z9 m" `. u6 A( J% Z( z
5 [8 ?+ r1 |; A4 ^0 d$ V
执行
0 u1 U# n A$ I, _" W& p$ G a; X% C
! v( S3 I4 E7 y* O3 k$ y" u
cscript c:\inetpub\adminscripts\synciwam.vbs -v
; X* R) S9 X2 K9 ]+ f2 Z
$ `/ s/ N( u4 o3 `
7.如何增强iis防御SYN Flood的能力?
$ s( i- i; w$ ]0 N% Q$ [. y
; h$ y2 i K4 y, W9 [
Windows Registry Editor Version 5.00
# r* u; `3 J+ y8 N9 ^
& l* G% Z) _/ H
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
, S( i/ }0 q: u# J% S+ r
6 |2 c( w2 X: |8 n
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
8 L" {* H t% g/ M: ^( a1 a8 F& O7 d! n
& P, v* q& Z5 [0 A9 k
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
3 b$ L5 N' T1 {" R3 d, b
) n% ^& [ M% T: O/ N, d2 l
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
( q3 M9 l7 q- r) A& F5 K
( p* M4 @. k2 w" X3 X
"SynAttackProtect"=dword:00000002
- x! v' [+ X% b o
2 Z% q6 K" d2 O c
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
0 Z/ W! L3 e" @8 w
, j# _: j) _) q9 S
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
% a; n5 C. Q# L. n8 U1 _
- F& Y% ~! Q. r% s3 \ b
"TcpMaxHalfOpen"=dword:00000064
1 _* y4 T, I, u% \
, Z) A3 i; j; B- E; N' Q3 u
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
5 _ e# K* a/ a
% c( [$ ]) o4 c$ S
"TcpMaxHalfOpenRetried"=dword:00000050
7 I* p% h) H2 w
+ T, m$ D \& e" u5 I
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
. L# \4 Z! x: G( r5 ]6 \3 }' G
$ q1 v4 J5 E* M% x5 N' b8 a
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
9 H) o( x, ^, F. s: w" V' c( x
7 n* T6 Q9 i) ]" g5 |
'微软站点安全推荐为2。
+ \0 l1 D4 p, a- j
0 a2 E, D. [; B6 Y4 |2 U' W- H
"TcpMaxConnectResponseRetransmissions"=dword:00000001
" x6 D( q X5 f- }8 m7 P
# K7 X0 F* q* t# M4 C% Q
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
) s- {7 K$ T2 H( a) P1 O
8 W! N! x6 J( N
"TcpMaxDataRetransmissions"=dword:00000003
' M' \3 @' h, V, q7 k
( R: G, D( x3 [. o- Z$ L F) }
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 T# O4 w6 i" y g
0 A/ V4 D! c! Y2 I; ]5 t; r6 u
"TCPMaxPortsExhausted"=dword:00000005
7 e4 s3 M: O5 h( @5 l3 Y* k! j
' L' s; b5 b, z
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
. D$ n. R5 X( b3 p) E% O4 N) B& n
# I$ w. J3 q/ O( x* p
'源路由包,微软站点安全推荐为2。
' |+ ?& J. w+ B4 J9 |
9 g) I* l& j7 L: u. ]( U8 B
"DisableIPSourceRouting"=dword:0000002
+ p* N) C- f: ^+ S6 n- M1 D3 `
& A" j. O) h: g! u( E& J
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 X( K" s3 @. R+ S
6 ~; d# g- ~- k* p2 K, H* e5 x" M
"TcpTimedWaitDelay"=dword:0000001e
0 j. v7 Y5 C8 @$ U9 f6 r1 D
9 l+ G& Z$ v" e3 G W1 U
8.如何避免*mdb文件被下载?
- f7 G/ e, P. k9 E% B* e
3 y1 l+ W# ^4 }9 h0 ?' S5 J
安装ms发布的urlscan工具,可以从根本上解决这个问题。
# H4 _( `, m4 W( K
# w0 |; f7 d9 {" A" Z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
. |7 y4 E: {# L% c8 k% L* j
. t; B7 b3 J) i" o r; b/ C
9.如何让iis的最小ntfs权限运行?
5 v7 b4 ~4 r' @4 O1 V8 b; d: K& t
- L+ S$ W5 L* q& \3 L G
依次做下面的工作:
/ x0 X) r& o i3 t* B! c
" ^; K1 V) f4 _
a.选取整个硬盘:
! |8 l7 q1 ~0 h, a9 J
; E$ D% |# k* H% W
system:完全控制
; G/ q% l: q* ]7 k I- n
5 x5 n& |9 a- i I. V
administrator:完全控制
# o7 d1 u' |. ?
4 s8 G, p/ u! Y& f3 ^! N
(允许将来自父系的可继承性权限传播给对象)
- x9 z* ~) L0 n1 R# {
0 B% R) z: z; l- E: o; G- t
b.\program files\common files:
3 v u6 u |/ i* o2 i" G$ |
3 Y @5 a* G1 [" ], ~! Y+ d
everyone:读取及运行
/ z- Q: h5 x3 A& ^. v# z. u
% e0 I! \# R$ k z" h
列出文件目录
& K. |0 P& y" I- {* B9 |# R
2 j' E* m5 S( L( y* B
读取
9 r# \$ @1 x. q8 z6 N& c+ d
/ M6 l( W7 B2 K) q/ f% |
(允许将来自父系的可继承性权限传播给对象)
7 _6 O% Q, k5 ?/ R
2 y7 ^$ l0 e' S* h
c.\inetpub\wwwroot:
+ L8 [$ o$ S- L7 W& g7 X
# A: q# @& C+ w: U
iusr_machine:读取及运行
' O3 F, \- m+ M G+ N
; [5 m+ s9 [; H4 p
列出文件目录
7 Q8 ^* Y1 _0 v- Q6 X4 I
& E6 G* N* T/ F7 i
读取
% S7 x3 |/ y4 P
9 a n3 I% o& e: F
(允许将来自父系的可继承性权限传播给对象)
; ~0 c- W# O( V4 ^8 G
+ ]# m$ F! ?- r" D2 K q
e.\winnt\system32:
" o& j. k: s+ t3 J% B
3 J9 D' q# | q& v' i# y' G$ d. j
选择除inetsrv和centsrv以外的所有目录,
8 z* d1 s9 B: O# F8 D
$ f' ~9 V$ B v8 z5 J* V4 O! n( ~
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ |6 c- i2 u: i+ O
6 |+ K# f! f( k, ^1 T" \
f.\winnt:
) Y* ` L* B/ g1 R+ F
, Z7 l! \" T8 k/ M: E) i2 Y
选择除了downloaded program files、help、iis temporary compressed files、
7 h$ Q1 v- b! g4 ?6 y2 X
2 m7 _ T' E3 q" W! _
offline web pages、system32、tasks、temp、web以外的所有目录
& X1 a0 n6 V! i! }. K# T2 v% H- {
/ ~+ i) h* p. d
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& T; } L1 ^6 o" ?: I5 J9 K
4 K5 a( V2 p! k5 ~8 [( F
g.\winnt:
7 L$ E6 Q+ l! p# N
$ C3 J) Q: g$ r1 J" x
everyone:读取及运行
+ b8 S4 Q2 P8 o
s- e2 }5 _" m9 V/ q- o% \0 V4 U
列出文件目录
3 m" R& D5 y, R- x. c5 s0 L* [ B% B
5 F. d# p9 `$ B4 U4 Z# ?
读取
! T/ \4 x* l9 G2 |2 n- {- j
2 U4 t. v7 f X
(允许将来自父系的可继承性权限传播给对象)
& o9 K; x0 k u
. ~% i4 Y; Y# M; W1 \
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
' d+ q- v! _( @/ k
6 j4 |6 d) l) y: a
everyone:修改
! W# U2 N4 P5 D* O2 B$ I0 x
# B V" C. q* _8 }4 W. J. H
(允许将来自父系的可继承性权限传播给对象)
, t1 x6 G) S4 n3 f1 g) _
* x6 C2 i( e+ k
10.如何隐藏iis版本?
1 ^0 |; T" \* m, a3 T( Z' F/ X
7 q: s9 F2 o. U$ C( U' `3 ^% c
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 q9 Y {# n0 R$ `
- c# G& ^8 z8 _! o$ `# \% w0 f; \
iis存放IIS BANNER的所对应的dll文件如下:
/ w' k; b1 g5 n2 X* W3 V; L
9 m$ X, b6 g" G
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
* N" u% E! n) q# n/ Z& k+ j: H
+ v* {; j# w, X7 U' t4 h9 u) D( U
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
$ E5 y" `8 @5 a+ E" ?
- O& B& J* D# M( b- c6 A
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
0 W% I% k6 V4 K# j. i
: s% V7 j6 L6 c
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
- i; j" z- @/ r
1 H [4 \% J& O' U# R3 N$ e
具体过程如下:
( J, Q& W8 Z( G/ d
5 @! M- n8 P2 I6 Z) x
1.停掉iis iisreset /stop
4 }) H- z" z# S4 r: R; s
6 I/ W6 Y1 D* W( P) a
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
欢迎光临 飞翔无限fxwx.com广西经贸职业技术学院论坛 (http://gxjmbbs.com/)
Powered by Discuz! X3.2