[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?

修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
7 {& |6 c' V( K+ j4 @; l6 |
/ A- `# s8 J: W! p7 Q; l2.如何防止asp木马?
2 f) [2 s. V$ z6 S( ]! c" O; h
: d9 M) U  R$ o7 C+ j基于FileSystemObject组件的asp木马

2 D1 ?0 X$ J- S8 i3 a- Gcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
- M- z& A: z2 A/ H1 G" e
3 u! b& P) H2 D5 q1 u3 Nregsvr32 scrrun.dll /u /s //删除

) X0 L) e2 e+ a  Y* f, W基于shell.application组件的asp木马
7 V/ ]* }) u, {
7 f+ Q& h3 f) C& b! T( vcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

regsvr32 shell32.dll /u /s //删除

  o( O! p6 d2 Z- M( X) m3.如何加密asp文件?

从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
. d% `- P1 T8 e3 i
) g" B* k6 J! h  V- [5 c安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。
6 G2 c+ v: f- \; v: J
% J1 ^( z. X: h7 r运行screnc - l vbscript source.asp destination.asp

8 ~  ^: a' a4 K* M# X3 D1 h) x生成包含密文ASP脚本的新文件destination.asp
% y! `7 h+ T+ d7 D. t
用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

但无法加密中文。

/ x: G. ^& |5 h- Z4 x4 \4.如何从IISLockdown中提取urlscan?

iislockd.exe /q /c /t:c:\urlscan
  X/ j1 U' B9 X# V
% q4 }0 I7 P, j4 z: X  s; S6 n5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

) `: l4 M' D5 l, w执行

cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

1 [3 {) U0 s& v4 t' b最后需要重新启动iis

6.如何解决HTTP500内部错误?

iis http500内部错误大部分原因

0 g$ m/ \: D7 P& {主要是由于iwam账号的密码不同步造成的。

4 G$ m& ]5 S( z2 y& E我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

6 D1 K; |6 y6 i3 G) A3 g执行

2 q4 G# N$ a0 E' `cscript c:\inetpub\adminscripts\synciwam.vbs -v
8 Y% y0 s9 U3 U# q
7.如何增强iis防御SYN Flood的能力?

Windows Registry Editor Version 5.00
. l' A) F3 X4 |
9 C5 Z& ?8 Z4 ^' R) {: N* i% j[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

4 o) e2 e" z; S! `' y$ V# H4 r'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

  u5 j4 D2 {' E; ?9 B# d+ c( M'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

) B5 l; ^# |5 D: {/ D* l"SynAttackProtect"=dword:00000002

'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
' O- ~4 r9 k, X& p9 l) o, S
4 |- K; R! i3 T/ f! Q  y"TcpMaxHalfOpen"=dword:00000064
4 t6 Z. L+ e! ^5 T- b
! h! c! n2 H. B" a& e'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
- k# `1 e% G' P# b* L6 Y, @
"TcpMaxHalfOpenRetried"=dword:00000050

3 E6 }6 Y& E. ]8 E'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
# f' G' P0 V1 x; C. t3 c
'微软站点安全推荐为2。
" S: S; o  K+ X% m$ h! K# M8 T- R
. d; ^6 R7 l( |"TcpMaxConnectResponseRetransmissions"=dword:00000001

# p# v/ ^$ {2 i1 d* V( K0 ~'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003
% E* i# P& D8 d6 L
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
# l* \1 }% |- B" r$ g1 }
2 A/ m/ T4 M" v1 Q3 v6 ~$ s* n"TCPMaxPortsExhausted"=dword:00000005

5 l/ z4 N; K- B% L'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

'源路由包，微软站点安全推荐为2。
5 f2 w1 h0 M/ ~% k
- r7 Z7 k- R2 c$ T"DisableIPSourceRouting"=dword:0000002

; J/ f6 C8 Y9 G# t  p& q& `# ['限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

  p! a0 y+ f2 ["TcpTimedWaitDelay"=dword:0000001e
6 a+ ^. `+ G8 N1 D$ m$ k) R- \
5 |. Z4 o, i+ h2 a8.如何避免*mdb文件被下载?
0 f* f$ w: g9 `! q' x, D2 |. z9 `
& |  K4 l. i: a安装ms发布的urlscan工具，可以从根本上解决这个问题。
4 n6 ]7 y7 R* D9 {% W/ ]
同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
: Y# M$ w( f. L0 F. }/ N, D& L
9.如何让iis的最小ntfs权限运行?

依次做下面的工作:
- l  N, B% @! `2 e5 L( B
+ s3 W) [7 m+ G/ e- y6 Za.选取整个硬盘：

system：完全控制
3 B+ M4 {: Q6 i8 l" v1 J/ g
0 u' ^" k9 S, h: q, ?  ~administrator：完全控制
9 s. h- [& P  X  n' U9 _
(允许将来自父系的可继承性权限传播给对象)
5 p+ x, l* V  J) _6 p% `
4 Q$ G1 o, R9 e/ S$ ~" xb.\program files\common files：
2 _# I0 q+ m5 T1 G8 f0 v1 d
9 j( `& W- _% V, m/ M9 K1 O# k- severyone：读取及运行

7 Z% z( V! z% X. I3 `' o' P列出文件目录
! x9 k6 W% _0 q9 ?/ d. N4 S% e5 A
读取
3 F) c/ l: [/ L, P
( e) u* W2 y& B9 M- H4 Y(允许将来自父系的可继承性权限传播给对象)

( D2 o3 E, F6 I  i, C0 _c.\inetpub\wwwroot：
: {7 H& V) u' O9 }# Q
9 \. D# C. \- viusr_machine：读取及运行
1 r' h, q  K. k8 r; G4 ~1 V
列出文件目录
8 n6 T; g& L* W$ U2 B4 h
/ r9 \1 d% _! J0 K6 }! g读取
+ r+ R. N* z: Q' v& f4 a8 J
(允许将来自父系的可继承性权限传播给对象)

& h+ [% w3 r2 X7 B* H$ Xe.\winnt\system32：
+ s* [; v) ?; q9 W( D* I
选择除inetsrv和centsrv以外的所有目录，
" O5 h. p! t: N+ T6 B- W! T% b' _
6 [* R# I: `/ C7 g/ m去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

f.\winnt：

, W  o- j0 A1 m1 U8 i8 s4 r选择除了downloaded program files、help、iis temporary compressed files、

4 ~0 d& O/ j3 ~9 A9 Z% ?* soffline web pages、system32、tasks、temp、web以外的所有目录

7 x! p! ]8 ]2 F+ L去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
: B* u6 k# @5 v. h! ]% `% a
g.\winnt：

) T. {8 w, z" Ueveryone：读取及运行
, }4 F/ h8 I" y9 [5 ^4 p
: a4 e' x! J% ^6 R( d! a+ a) P9 X列出文件目录
: e. ]: d, ~2 t, Q4 ]
, G5 ?# L/ s; ~$ N. H读取
* T2 ~3 ^! G) I  }' K' V
: W$ m) }! K/ k1 A(允许将来自父系的可继承性权限传播给对象)

; L3 B3 c% [- {; G" {! Xh.\winnt\temp：（允许访问数据库并显示在asp页面上）

& ?( v4 U: J9 \! g" Y4 geveryone：修改
1 v1 D2 ?% Y' m7 v& }( k1 s
. Q; S) t: h! g+ j! P; E7 I+ Q8 Z- M(允许将来自父系的可继承性权限传播给对象)
4 p+ x: F0 r& T; H
10.如何隐藏iis版本?
8 p3 C- C2 m/ t) U* _* p
一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息
2 p- |6 |; l) |
4 U! N6 V( D* w( `iis存放IIS BANNER的所对应的dll文件如下：

WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
$ g% F( U8 G$ K1 i+ T$ ^6 ^
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
; ?2 t6 u  f* g) x; e
" J% X/ P- g7 b& i9 R/ }你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

具体过程如下:

1.停掉iis iisreset /stop
. z, x( Y1 b8 A8 }
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件