广西经贸职业技术学院论坛
标题:
[建站技术]网站服务器IIS常见问题完全解析
[打印本页]
作者:
月中水
时间:
2009-10-16 01:35
标题:
[建站技术]网站服务器IIS常见问题完全解析
1.如何让asp脚本以system权限运行?
# x+ h9 R& ?$ F' ]6 ]' W$ U
7 Q+ {8 `/ J: w! \8 o
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
; o$ d+ X4 z Z H7 M
3 N1 K' {7 h! u: v5 ?: Z! D3 v
2.如何防止asp木马?
! V. {% M; ^( @# @
- Y8 o% Z, D9 s) R3 ]# S& P( I) u
基于FileSystemObject组件的asp木马
% ? ]# h' w2 k
+ N: B& b7 ?+ _' g) _, u G- I
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
1 c5 T/ D. c v6 v
+ i2 N" s9 x/ F( K" d+ c- H( ?
regsvr32 scrrun.dll /u /s //删除
9 ], a+ K1 A7 P- X8 c
) S4 h: i/ z/ ]. E' a( g6 r
基于shell.application组件的asp木马
A1 J/ L! e! A7 x. J4 ~7 ^9 C. C
( U; } g; l" W
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
1 Q, S& \" o! c0 M5 b: I2 ? ]. N
) d6 a4 y0 K( l5 O: w1 ?! b
regsvr32 shell32.dll /u /s //删除
" S2 O- Y$ ?. l c' g
! T; l y/ `. w7 ^ d" g- b& b
3.如何加密asp文件?
; [! j: Z8 [' {8 A, K
( m) E+ R* K, j0 h
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
1 I8 i8 Z) n8 i, ^7 u. Y
6 C9 z" V$ F" a9 `
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& S" e* C4 d. u( z& v" X
% f" x. o: Y$ s0 w9 J' c9 ^( i
运行screnc - l vbscript source.asp destination.asp
' y% K d' Y9 S" l) H
; ^8 x! {2 X* m
生成包含密文ASP脚本的新文件destination.asp
8 T& {+ N' M1 _. E) y0 c
' Q4 ]# ^1 K7 a/ d. B* _
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* `& X3 k+ ?% w6 x0 Z2 u b
7 a$ Q0 W+ Y# U
但无法加密中文。
. V! o0 S7 {7 ~
) v& y2 H% s/ `% j
4.如何从IISLockdown中提取urlscan?
" Z- b. d) L* T
' k9 K7 w* B, L2 p' @8 L6 S
iislockd.exe /q /c /t:c:\urlscan
8 j, V0 d3 o4 i
9 T0 u; k( x d1 M$ d3 I- g
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
( u3 ]8 ?3 m2 H; K# F9 `# c
. W% t& J4 n" B$ ]0 ]: V) F g5 S
执行
5 ?! o3 F0 C$ Z" h
. M( Q2 u* V; E$ X9 }, Z+ D# O
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' N6 G5 T1 u, x" Q: X
) j* [$ H# r. {
最后需要重新启动iis
& c. \# m% g. H, z5 R7 u) z
& u: T7 W& h# c
6.如何解决HTTP500内部错误?
2 V3 O! d- `9 K1 v! j$ v
( e5 Y# z, b( v% c0 T
iis http500内部错误大部分原因
* ]; R# }0 W+ k* U4 d* k
8 a" H. n7 \8 v0 X( e `
主要是由于iwam账号的密码不同步造成的。
9 W7 u. o% _* [5 g0 V6 [9 f. T
4 B7 T: w- k# X: I+ z! p$ S
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
! }. B. u, M& w. l$ Q
, c! T7 Y0 U J- g( {) Z
执行
/ \4 e: U- o3 I
) G3 v6 _9 F8 P) G: B) B
cscript c:\inetpub\adminscripts\synciwam.vbs -v
; [: V D' V$ C
1 m e1 a$ l+ |) t
7.如何增强iis防御SYN Flood的能力?
5 F* V; O9 v7 ^+ H% q
# W" d7 z r6 p2 S# X& X% i6 Y
Windows Registry Editor Version 5.00
; r {6 _7 C9 g& K: `
) U1 { [6 {- {/ ~, e) ^
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
- @% L+ X1 E% {% O6 w% p
C( O; T; A+ K6 t) C+ G- }( @* u" Q
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
* A1 D; t$ Q' S
- x( s P3 B, n8 P/ D
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# {* C& z* ^, X8 W
7 R$ j) A6 M: E% ` r& J/ q( b
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
& F" b1 F! N! K9 w
0 R/ a: @, k5 Z9 B2 o; r- C4 s/ V
"SynAttackProtect"=dword:00000002
+ p) K$ P0 S, ]( Q {# e( H
+ L, Z+ q! z6 A. u: u
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
" j( a; f8 }3 A
% {* H ~6 a% Z- \* x* C
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
0 G* s: s) D8 ~9 ]2 U
: P0 S7 y* i4 p+ @3 m0 W
"TcpMaxHalfOpen"=dword:00000064
0 q( ^0 b$ s7 d; m" [# T
2 ?1 b6 l7 r/ ~% X) Q) G3 [ Y
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
/ E, D( A. g+ g2 }
- o3 n* {" ]4 z/ l( {; Y" H
"TcpMaxHalfOpenRetried"=dword:00000050
& J+ Q: E6 z7 x* u) J U9 v) z. a
/ c: g3 u! d( y) {" r
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' u! H6 j3 ?8 C4 l+ W* y. |
- y3 P4 N$ H9 u+ i1 q6 B% E
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
8 Z1 w2 N6 w. T+ ?1 I7 g
$ I0 @; p+ ]$ c/ e# v+ ]
'微软站点安全推荐为2。
0 f, F: h: K: c' T ~- Q" b" |" S
2 C8 h5 c0 C8 y8 Y, |$ D: n
"TcpMaxConnectResponseRetransmissions"=dword:00000001
$ W% P z2 O" {( n
# X3 p$ O! h4 @# |) h5 w( M: e
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
7 ?' E" { X% L
0 x- `! G9 R) T. Z
"TcpMaxDataRetransmissions"=dword:00000003
/ P2 e2 ^+ T9 G+ l
7 V* s3 s, F/ W" @/ W; d `
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
v4 n) d0 i8 ?0 T* |0 n1 D
) |9 j5 i% |( i# Q6 y' u. N% u
"TCPMaxPortsExhausted"=dword:00000005
& N0 y! N' A2 V, w4 a5 n
% ^8 m/ ]8 q( u- o- f
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
( `" J0 Z( M8 P" z" x( U
O% _5 h3 B# n
'源路由包,微软站点安全推荐为2。
+ T$ T+ g6 r& [' y4 u
' |3 Z* m$ Y8 a( I* ?
"DisableIPSourceRouting"=dword:0000002
+ F% \6 [* r# z9 V4 l
+ K6 A9 S; H% t6 u( P% |# Y
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
1 u; J7 ]: m' _! e) q
: n* B0 I! U- Q# Q! D$ u( {8 A
"TcpTimedWaitDelay"=dword:0000001e
1 m$ R4 a+ p6 R R
+ Q3 h/ W6 c2 H- o
8.如何避免*mdb文件被下载?
) J: z. m! R' }9 R
3 n: s; {8 U( k/ Z7 I
安装ms发布的urlscan工具,可以从根本上解决这个问题。
/ y1 q S- w) q- G
# [' C) m% [* ]
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' D1 v4 Y7 y2 e+ B2 Z
, p7 M& G- {; b* K- J
9.如何让iis的最小ntfs权限运行?
. F2 O7 S3 M! g; ]1 ]
0 j/ K( w- @ [! I o- L
依次做下面的工作:
" c+ K1 I6 u; X. \- D
i \$ e0 J# ^" M5 Y
a.选取整个硬盘:
2 d+ O& T, p5 N6 n" U) T/ m
' S7 v1 z' G* M c% `/ G9 F0 O
system:完全控制
: T' _0 Q' A* f; B+ q. t' G" p! ]
. n! @$ H# A. P: R4 b
administrator:完全控制
; J E) U, ?/ t
, ^/ B5 w r# Z2 t0 [
(允许将来自父系的可继承性权限传播给对象)
0 T" ~& m! D7 g& V% C' U1 b6 Y; E
6 Z( Y. e6 C4 h* u
b.\program files\common files:
5 O* y9 u' C8 t' b+ S) M
h5 M$ `0 [2 }* W9 N
everyone:读取及运行
4 H3 \* J$ e2 H$ s" i
9 ?- u& U4 s* G% M
列出文件目录
! G) i3 d5 k ] k, K7 E0 E6 {
# X1 C" Q$ |" R9 {! ?
读取
( i9 ] l+ q% Z. T' t% v1 e( B
' ^, F* I @1 l1 e
(允许将来自父系的可继承性权限传播给对象)
' b E- g4 D5 Y) l( T, w
- G& f$ H# L* q4 G9 @* J
c.\inetpub\wwwroot:
8 r+ j2 x/ H+ W9 ?% k: Q. R3 a
; P) j4 f7 ]: x" t" L9 v
iusr_machine:读取及运行
7 h: `# d( s6 T8 o& [5 b$ j0 `2 u0 _
" a! X/ @* A. S$ @
列出文件目录
" _1 k9 D" O, j% E1 y* D0 l
' K! {- T. c. j/ ]
读取
. Y$ }/ [& I) f( D
7 W. F$ m( e& O c C' ~
(允许将来自父系的可继承性权限传播给对象)
, B% j$ b" I3 W R- j
. Y5 M, p* G' O/ d
e.\winnt\system32:
1 u1 G0 M5 ~) ?" B
' n4 _& ^4 ]0 j) H: B, k# R! @; z
选择除inetsrv和centsrv以外的所有目录,
a+ h. S' o' _+ u9 \
0 |2 ~+ g+ a0 z) A" U
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" v4 _5 S5 H. C6 F# n
6 V" z, c9 C, E4 _$ q
f.\winnt:
& e$ s4 I( V: U8 }' @
; [& @; L# F6 U" l0 b( s
选择除了downloaded program files、help、iis temporary compressed files、
- \- i; U. C. \0 g) d o
0 w7 `1 s) ^; P
offline web pages、system32、tasks、temp、web以外的所有目录
+ \: D1 S$ f6 {# h8 U. J
; g" @: y+ D3 d
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# r% g( y7 E, u9 x- f
7 f6 t; a' M; [2 C" J- t
g.\winnt:
6 @ M! K& Y0 L7 b% N+ i6 J0 f
9 G3 W! s z" J F2 K0 f! Z
everyone:读取及运行
5 [. Z( B4 R; z# l5 T: B
4 |5 t5 O$ m) Y& h4 [1 a. V
列出文件目录
3 X/ n$ c( H, s& I
, ?8 P r/ ]- ]( |4 g: ~
读取
" l$ ]9 e" Y, E3 M) @, F5 k
# m& v/ q# g$ H+ P
(允许将来自父系的可继承性权限传播给对象)
+ l. M( {7 J7 P& X& b- r
- }5 O. ]) F9 H+ X+ \# ?
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
2 L8 t( \# T, k8 |: e
3 }% V+ M4 J+ B/ `9 `& `
everyone:修改
9 v4 B' {. F. R0 G `, o+ e
Q5 r1 A# R; f$ B3 C0 s$ e' j
(允许将来自父系的可继承性权限传播给对象)
, ^; Z& P3 F: b! V, J* J
$ `( H# C, h. E; x {5 H7 ?
10.如何隐藏iis版本?
& y7 X g5 { K/ P, j1 M9 t
1 A/ z7 v; Q/ p% z# ~7 C
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
) {! t5 K4 X b
& @/ M$ N" F1 {) G" D, e' `
iis存放IIS BANNER的所对应的dll文件如下:
q( ?1 K" `: S2 ~2 \
: _* o% a. F% d2 q N0 ~
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
) v2 \1 d& G4 {1 {2 `: ]5 P8 E
5 d. E2 q3 ^4 E
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
+ J, _4 t) y( k- x
# J1 _; Q, f7 T3 k1 Z6 s/ X
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
! R' T; f8 t$ g- C8 c
0 e- s" c0 z+ N! h5 m
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
. D; V& d# @7 F; f# I4 [
2 o; _: h$ H1 F
具体过程如下:
0 t: `3 l, b! I% x- D* M
- L4 R! P. i: {/ Z, c1 a `
1.停掉iis iisreset /stop
3 B5 o. Y! y- N7 `) U z) y
" F- P, E" _# O% P" F+ F# ^4 o
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
欢迎光临 广西经贸职业技术学院论坛 (http://gxjmbbs.com/)
Powered by Discuz! X3.2