广西经贸职业技术学院论坛

标题: [建站技术]网站服务器IIS常见问题完全解析 [打印本页]
作者: 月中水    时间: 2009-10-16 01:35
标题: [建站技术]网站服务器IIS常见问题完全解析
1.如何让asp脚本以system权限运行?
6 S: \! `7 M* R! {8 B
  _" c. n- A/ k: ?, r9 m1 G" j修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....* }1 {5 O% P" F5 h
: U; @, _9 r. J' o7 R7 A8 R
2.如何防止asp木马?
1 n0 u7 ]) _5 l) U
0 \4 i( F  E! P% K" P& p0 v基于FileSystemObject组件的asp木马* z" A+ i: P& f6 n! l$ b; `) u/ U
7 d/ u2 c4 e' Y
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
1 j# d/ n$ E' x6 `% w5 v0 a2 j8 [* }- O$ G  g
regsvr32 scrrun.dll /u /s //删除0 D9 O' s$ R) ?7 H' V
; V, P$ N- z# Y6 ^3 p
基于shell.application组件的asp木马; G  @/ c" R: A% G2 {& ?. E0 n

4 I6 [4 d* [- U* k+ [cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, v) _8 K+ u1 w- w: P$ l; L% g* u9 C
regsvr32 shell32.dll /u /s //删除
! c  b& [5 r$ ]# E( ^* T7 w8 r+ l0 h. ~+ m9 |
3.如何加密asp文件?. R8 h, U4 q# L% U) O! S

- p) L! r  s, v( ]从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
' P2 Z7 x$ ?2 B8 l6 O! m: T% y! `& U! ^' z
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
% }/ M+ W4 u( i8 m- i8 B/ ?' ?7 y8 `! g+ p* w
运行screnc - l vbscript source.asp destination.asp3 _" A/ Z7 y2 J- f+ }8 x
$ \1 b8 t  M$ p  B2 {- H
生成包含密文ASP脚本的新文件destination.asp6 W; Z" b1 L, z1 }, C0 R
/ O2 c& s; \2 E6 S  c
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了3 E2 p) |: a- |. F( C1 D7 P# b( `

6 J( W: b. y5 ~但无法加密中文。
" X! f1 M3 a( \( |% N. s4 N' L  s1 W
8 B5 h5 H9 R  ]& q4 l& l4.如何从IISLockdown中提取urlscan?' }- ~8 a5 F$ [7 D) f

- N/ Y$ z0 T4 D# X( ziislockd.exe /q /c /t:c:\urlscan
  a( H9 k) A/ p! A1 }" \* }  K! |# e& g& ~# l
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
) P7 C  K# W$ V. l
. J9 _  C. P: F1 A( f8 D; x执行- X: k4 q# F9 t& Z
8 H( W4 `4 q+ }
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
* \0 ~7 J2 k! u6 b
: v" U7 E6 F" [: d. N. d. Q/ ^8 c  Z最后需要重新启动iis5 o3 d, p. a6 S- ]

; y4 m* Y: r; P6 w7 ]6.如何解决HTTP500内部错误?; j" P9 Z9 O: x% e
, A! }2 h. k) Y, x% Q4 Q
iis http500内部错误大部分原因
! }. O% M3 L0 A9 b
6 j& |' L, R% t8 [0 N. \1 i主要是由于iwam账号的密码不同步造成的。1 _0 V) r) v, Q0 x
* _& |! E4 Y2 y
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。  N1 y6 |; [" c; i  o/ w
5 Y: _! b' V- f  f5 o
执行' f# T1 B! I, s, p, X1 g( {
- u5 e0 [& f5 [/ E/ P
cscript c:\inetpub\adminscripts\synciwam.vbs -v8 b* r, A$ C7 ]/ U' \
9 j, E. [0 q: ?# G: T7 g
7.如何增强iis防御SYN Flood的能力?0 Q" `/ H) ?5 J& P6 K: u
3 r& a8 E, y4 Y- Y0 L! n' D
Windows Registry Editor Version 5.00" q* \9 y/ R0 \- \
: u$ @( a4 ^' c3 g1 C) Y
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
% T( S4 l5 [9 @; a2 ^; ]* O; W4 L$ M% i" u: P
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
8 x& g+ @* u% N  C: `3 h/ @6 F
8 ]  @0 k0 R+ ]'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# R5 t1 h# u4 a! ]4 n& ~; i: i% p
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
2 u2 @7 \/ D9 h; h/ C9 ~0 W8 d
( v2 x) e/ h2 L"SynAttackProtect"=dword:000000027 m/ v& g/ x+ u& J2 j1 \9 i

8 k' \* \2 f/ S/ r" ?'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态4 n5 {2 _) p9 \- @4 w

6 m6 m0 `  J3 ]2 y- y'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。7 e; V# Q8 _. y, y0 a3 w# |+ b

/ V' _& y$ T* Z+ N"TcpMaxHalfOpen"=dword:00000064, {& Y- q1 X3 g* v6 E6 u$ M

9 r( W% G* W& W3 \0 c! k'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。: |4 @- {5 w8 E9 k( V
  Y- g0 Z7 s- ^- V; N& y) E
"TcpMaxHalfOpenRetried"=dword:00000050
/ G0 n8 d. N& e2 |
' c: F  X! J2 V# P! w  x5 h'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。% M3 F' V  Z# f# M6 z
9 N- U7 C* Q0 V
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
3 b0 L" e- X" j; C! o. U" {" _' Q1 s5 W; ]: G# J
'微软站点安全推荐为2。
) y% e) x$ B2 u' K! a$ q' V" U! |7 [! I9 E- b# Z0 ~% }* t9 ~
"TcpMaxConnectResponseRetransmissions"=dword:000000012 R) J) m5 b9 Y/ c3 L% e
! Z3 F" q" P' L9 s! p7 K
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。7 Z( ^$ O7 P; `! ^% r$ v
" o$ A3 U6 V) _4 a- q
"TcpMaxDataRetransmissions"=dword:00000003
6 K4 h# N8 j7 u% M) z3 B
7 f( `* K2 c+ S4 ~'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
& f7 T- v3 c: u6 Z' o, H: u+ d" o
"TCPMaxPortsExhausted"=dword:00000005: D$ c. _+ |! l. F  l) _6 Z# T
4 o7 ~: O+ f  f- @8 I
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的% ~. m* }, a( g  h& ~: c
* \% D8 q( j0 |* `( a+ g3 ?5 b
'源路由包,微软站点安全推荐为2。
+ `; `! q# {! s5 W0 D
) _; @# n8 j& U7 M2 E+ J"DisableIPSourceRouting"=dword:0000002  |+ N) H! x! S7 r+ \& G* q$ \
7 g  R8 ~& f  j% U3 i1 S; ?
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
) J& R9 i( K9 M9 ?
3 C6 |$ n- k' W"TcpTimedWaitDelay"=dword:0000001e
3 X) n1 b3 I1 s) w
0 [& X5 h. V; u* k8.如何避免*mdb文件被下载?  R% b+ E& _* a2 l

9 u8 T3 c' e4 e3 {. k, n安装ms发布的urlscan工具,可以从根本上解决这个问题。. o- [" B: W' g2 F* p, y, i
% u7 r+ S; H6 Z8 n5 i! s
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
- ^1 b6 z2 C. F2 k; Q1 b$ L, K: a5 ?
0 T/ A* Q+ U4 Y, x' B* |% Y9.如何让iis的最小ntfs权限运行?5 @! J# P2 O4 q$ K. K
0 G# Z" Q# ~  y+ H1 {: \$ D% V
依次做下面的工作:0 a9 ^7 k; Z! D; r/ z! W
; R! J! ?2 F& q" P9 I( W, t0 g
a.选取整个硬盘:- }. W' M! g. _, l; Z
3 h) c, D. s' l) U( ~
system:完全控制: F1 ~) l, ]* F) P, \4 |: m

; @3 O, N" V5 v$ p2 F# Jadministrator:完全控制1 z5 T3 L0 T( ?6 z

4 F  ^/ q- ~2 v2 o4 O$ s# @(允许将来自父系的可继承性权限传播给对象)- d- Q/ {( [. m
3 a6 c7 H) R) h/ E1 [
b.\program files\common files:  A+ h* Q  ]' H6 I5 A( e8 V: U
3 S4 C* s; x( E7 ?; S7 x
everyone:读取及运行" n+ D) ?: g/ M( b* _

  C" {  o) w+ x; |列出文件目录7 |  ~, T5 W5 M8 y

' P5 O, u3 L( K% E' F+ c: J8 u读取
3 d( [7 K0 z) P, F2 O( C8 o# b9 n; Q
6 S) \* I2 }- B* f3 O5 [" q5 N(允许将来自父系的可继承性权限传播给对象)
9 O& L' D. n6 ?. V
/ O# G/ J7 k: F4 \" dc.\inetpub\wwwroot:! U9 k: O: V: E4 o; U4 o: k
& m% i2 o/ a- J/ }% q4 e8 y9 p
iusr_machine:读取及运行
8 i! O+ N1 R' d' Y+ ^. K, k/ G
# `5 U# F' a0 s4 j列出文件目录
- e7 [. Z3 u# v; b- e8 w. W; F. x$ ]7 ^5 o
读取% ^6 w% s- f4 M0 a" `: \
3 R/ L0 w6 c2 U9 e- ?
(允许将来自父系的可继承性权限传播给对象): {2 ?8 p: k! Z7 s
3 @3 }* Z/ q  M5 R! w
e.\winnt\system32:( \' d; ]7 d7 L: I4 R
( Q; `6 p/ B! S8 `2 \. y1 A
选择除inetsrv和centsrv以外的所有目录,
6 Y; z' {) o, u- D- @6 @, q
9 d8 a3 q& [- |7 s8 e1 S去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- ^( n! r6 `" C2 b% _
/ p* a: L- h) v, J" f" M6 r( m# O
f.\winnt:
6 C. }) v) _5 ?1 N& X" K$ `7 k: a1 N& n6 [( U- q# _+ P' Q) L
选择除了downloaded program files、help、iis temporary compressed files、" M* Q1 b% `% A4 _- r+ d1 @4 U! P" p
/ _2 q! z' ^, e  N, }* ?
offline web pages、system32、tasks、temp、web以外的所有目录
6 V1 }6 T8 {5 V. j2 ]# \/ n9 m9 t: A0 m/ i% g" k, A! q
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 T9 n4 v1 K  i  K6 E+ p5 n! t& |) t
g.\winnt:
8 V7 r: C. W8 I2 o) q" s/ c6 q6 o9 I6 [( W8 u( E; u, S. _" S
everyone:读取及运行3 z5 y( ^3 G( `. Y4 N1 [2 D5 S

7 S7 V* E; v' f6 B5 x列出文件目录9 O* d( p3 j; H, S" m% c8 E. s

# Y& y( A3 p& D2 u读取
/ Q. i# `" @# s+ |
. L' l- K+ o% j: `- t(允许将来自父系的可继承性权限传播给对象)2 p7 c7 }. L# |6 S) v$ R
2 n5 p+ [, ]) Q2 |# x* M
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
  \- z& B7 Y7 V+ t
; y# i$ }' o7 feveryone:修改+ w& g: b" w: c

! W8 ^- X3 }% I- d! X(允许将来自父系的可继承性权限传播给对象)( u4 ?2 s; _' Q* Z) q) D
# g! v1 v; H- R" S9 V# D( R
10.如何隐藏iis版本?
: U$ K* L7 [; g/ K# K3 X  q+ C' V6 I  Z* ^5 w* B/ T
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息3 |4 \0 J4 j/ F1 d3 ~% {
( x# \5 D8 c: Z4 z/ ~! H6 \- ]
iis存放IIS BANNER的所对应的dll文件如下:
/ q" f6 B' x* W0 P$ E2 b! K% ~- h
( `7 U  ~2 J/ X' DWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
1 v; ~3 H5 t+ Q
- P8 [  Y$ v+ X  xFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL. K. u# J3 _0 m! |- _  m; Q5 ~+ [

/ e0 ]: l- I% i. i& V: LSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL8 f2 C# v- N) c, p

- `: n' ?/ w; ?. K5 z* w6 F你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.06 H" L; h( @+ U
% B% a( e6 W+ e3 t- p) @, A5 Y7 m
具体过程如下:
1 h0 i& @* S% Z$ f: R- V0 R& {. U
. k, d' \5 o; `/ }+ c1.停掉iis iisreset /stop
; A+ W. _9 E& O7 g" I$ ^/ E1 x: G$ P6 ]9 g
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件



欢迎光临 广西经贸职业技术学院论坛 (http://gxjmbbs.com/) Powered by Discuz! X3.2