[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?
2 Q+ M. t+ {. M4 M* G- H- ~8 L
1 o, u1 b7 t4 N$ m, m修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
/ V, m' M# F+ O9 }1 P( |3 Z
  O* |/ H/ M5 |2 F/ v7 ?2.如何防止asp木马?

基于FileSystemObject组件的asp木马

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

* H* E6 v% b) ~( Q# i9 Gregsvr32 scrrun.dll /u /s //删除
2 d, K- M7 v' A( {& U8 w( y, c0 a
基于shell.application组件的asp木马
' W9 H* M# o( L/ h0 G
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, `" a) h2 D3 O5 P) L
regsvr32 shell32.dll /u /s //删除
* ^+ M& _9 J) `6 q
3.如何加密asp文件?

从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

0 B$ f5 {  w: [# l+ X安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

4 R3 {2 B0 M" U$ V运行screnc - l vbscript source.asp destination.asp

生成包含密文ASP脚本的新文件destination.asp
, E4 `5 S" P! f% g+ `
; J% U8 P$ B7 v! r& o5 {用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
, H- K9 L2 C1 W& R
但无法加密中文。
# o6 x6 g2 l6 s  ^$ B# ?
+ B4 e* _9 s5 E; I+ \4.如何从IISLockdown中提取urlscan?
0 }: W5 q; W; q' k. q, c2 c" I
' d- z& I! t# u1 yiislockd.exe /q /c /t:c:\urlscan

! Y5 ~/ t, L; h4 i2 k9 K  B5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

/ y1 _+ h! j+ b: h执行
' U' o" N& f, v* v
- B: ]4 ^9 p( @+ v( \cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
9 Y6 ?' @7 ?* I
最后需要重新启动iis

) \2 Y) X8 T- z/ S; I: l6.如何解决HTTP500内部错误?
% u4 ~& r- a: s$ y2 |6 u2 y0 u
+ y9 j6 f6 t$ i; H% e' W  iiis http500内部错误大部分原因
/ T- D$ f6 A- Q. F, n) a
5 t# O  R9 [1 ?( D主要是由于iwam账号的密码不同步造成的。

我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
' s4 @2 _6 v# s( ]6 J) a, P6 \
# j2 b  V1 ~' V$ M6 P' ?* h& s执行

% i8 v* s# p3 H7 J: Ncscript c:\inetpub\adminscripts\synciwam.vbs -v

7.如何增强iis防御SYN Flood的能力?

Windows Registry Editor Version 5.00
' z4 r4 L  d+ S
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
! P1 W; j0 y% F8 y5 u7 Q; ~
5 b! c6 V1 F' Z! k0 J0 M8 p5 M1 Q4 I"SynAttackProtect"=dword:00000002
7 g( v! S: ?" B4 k7 \! z  T
# @3 X( Y% K5 H3 B5 U; J0 _" ~3 s'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
9 _4 k, D: G; _
'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
# \5 A7 x$ U: h) P* t7 Q
"TcpMaxHalfOpen"=dword:00000064

0 Q8 e; n1 l! Q6 V'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
8 P! X" a6 y% J" p: E( p: k4 ~* N# I
: v$ z. z" q) {, I5 n"TcpMaxHalfOpenRetried"=dword:00000050

( H7 T* e3 N$ a5 N& ]+ R5 H" g4 N'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
% W, _1 \7 X. E
6 @) U% s- c# t% _2 k'微软站点安全推荐为2。
& l3 Z$ p- ~& M& D
+ _0 J/ p5 h! E$ D5 v"TcpMaxConnectResponseRetransmissions"=dword:00000001
( p1 W6 e8 Q8 s# y9 q
$ w, Y9 O7 o7 F; {'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
3 ^- I' s- M1 ^  n
"TcpMaxDataRetransmissions"=dword:00000003
7 k6 \( j1 Q5 W! C
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

" P& Q3 B# Y( z0 w1 m"TCPMaxPortsExhausted"=dword:00000005

'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
+ V# m( ?. W0 ?. e
/ d# M" Z) t# P5 R7 W'源路由包，微软站点安全推荐为2。

"DisableIPSourceRouting"=dword:0000002
/ }# ^! ]6 B5 `3 Q) n; q! D0 m9 Z8 c
' T: N. Z. B# \0 Y/ q7 Q; q/ w'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
, ?* }/ O3 t6 s+ x' g. v5 B
"TcpTimedWaitDelay"=dword:0000001e
; s. L1 R6 z+ V9 C
8.如何避免*mdb文件被下载?
% P) W* x; b! w9 ]
安装ms发布的urlscan工具，可以从根本上解决这个问题。
4 I  V( ^* f8 J
/ P1 e! N: O# M4 u, m$ c同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
: L0 P/ i; v0 _' }' G+ @, e
9.如何让iis的最小ntfs权限运行?
* x; f1 c6 K6 Y. E: o
6 }/ A2 }' @6 R6 c依次做下面的工作:

a.选取整个硬盘：

% {* b, Z( D/ r9 [4 c; ^* k5 Y2 r+ wsystem：完全控制

administrator：完全控制
; w7 F" H( L4 u% y3 t
: Z- U. B' d- A, K(允许将来自父系的可继承性权限传播给对象)
/ K7 a; I3 z8 z: X7 Z4 U
b.\program files\common files：

everyone：读取及运行
4 C/ h$ y/ J; |: L* v( p! c
  ~/ Y# |" [5 S! S列出文件目录
# G- r, ^" W; ^, Q" f' e$ c
读取
: k" w+ v5 f9 ]. W6 i1 B
0 X( I, o- F" R1 y4 U! q(允许将来自父系的可继承性权限传播给对象)
& P& h2 \" T+ Z1 ?0 g1 {0 w1 c
c.\inetpub\wwwroot：
8 Z, w# k0 n2 Y/ m2 G
iusr_machine：读取及运行

: A9 ?, w7 J7 w: D2 x列出文件目录

读取

' j* ~! V5 j0 K* C(允许将来自父系的可继承性权限传播给对象)

( f( d4 W1 s' k, k* i- ?% h3 C9 te.\winnt\system32：

/ n$ z7 Q* J' p. l2 r4 t选择除inetsrv和centsrv以外的所有目录，

- c% E* u5 F! J0 t% c去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
+ S) @) ]2 z" j: N
- Y$ g% W" ]: N. A7 c/ i- L9 t# Gf.\winnt：
2 }) v  k& s- z
选择除了downloaded program files、help、iis temporary compressed files、
  c7 u) P4 Z; @9 z
4 g5 ?2 c3 }1 k% yoffline web pages、system32、tasks、temp、web以外的所有目录

8 _  _5 p7 ?4 u* m去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
2 E0 T* |: N" i9 p( Q
g.\winnt：
( C8 z1 _& T  F* V1 d
2 }" X$ Q0 o1 U& _- @everyone：读取及运行

列出文件目录
7 E% {; E6 q$ ~4 L9 E! B
读取

(允许将来自父系的可继承性权限传播给对象)
) X4 }1 Z/ G0 }2 ], @
6 k; G: [6 J* @h.\winnt\temp：（允许访问数据库并显示在asp页面上）
0 |; d, y) M+ U1 Q/ ^7 M4 u3 }9 B
everyone：修改
9 X: o1 @! Y: O
7 w/ X& ^# Y: N: e(允许将来自父系的可继承性权限传播给对象)
+ e" z7 ^+ `  i) b. V
10.如何隐藏iis版本?

: C. U- c/ w4 ~$ Q3 P. f1 z一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

iis存放IIS BANNER的所对应的dll文件如下：

1 t6 _( S, w. A& fWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
" Y. z7 |2 h9 }% V" Y- Y
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
9 w+ ]7 ~1 N2 I. `
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

& C( d. ]3 z5 h: W' E: n+ z) a具体过程如下:

, |9 q0 P6 r- Y1.停掉iis iisreset /stop
3 v2 r0 O' ~2 s
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件