[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?

修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
3 \# s9 Y+ }8 J, I+ e
+ K# n  b0 ~2 p* h+ Q6 ?  ]7 K2.如何防止asp木马?
2 L) K& k) D  ]! S* }2 C
2 M) Z, q: O; W基于FileSystemObject组件的asp木马
2 q) C' n. X' u2 I# h2 R* ~
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

  a( n& _( U: {' [: o! Lregsvr32 scrrun.dll /u /s //删除

+ X2 K% W8 s8 M  \$ i! F6 v基于shell.application组件的asp木马
, }/ I; p% Z: Q% C2 P
/ c- R% P7 q3 s, I. Scacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
2 \$ \$ w6 s+ p2 W
8 W% \- Y4 P9 j) U1 m$ Xregsvr32 shell32.dll /u /s //删除
  l6 ~  L+ l, e
- N* }2 q  o: K5 ~: M! V3.如何加密asp文件?

( c7 p1 y* [. h& U' l% h从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
1 C; s: ]- q4 t( [9 i. v; E# p
( P# Z2 G6 m* Y3 N3 M% B. {' x安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。
" w5 \7 D& V1 ^# _7 q2 M/ i
运行screnc - l vbscript source.asp destination.asp
2 @5 M/ ~. f% D3 v; r
生成包含密文ASP脚本的新文件destination.asp
2 ]: O) T4 e8 E0 A# L. w: y; g) }
用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
- D* O! G1 e/ S) D  k2 N) q& Y
但无法加密中文。

4.如何从IISLockdown中提取urlscan?

iislockd.exe /q /c /t:c:\urlscan

/ j& u: Z+ Y, m" k) ?) n5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

执行

  G) t, h" K, W2 a! m3 dcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
9 l5 |5 K$ w7 x  |
最后需要重新启动iis

1 J4 k6 O( T( v) m) J6.如何解决HTTP500内部错误?
4 e, ]+ A# Q/ |  ]. w
! W0 A8 w5 b' p( W7 l4 |iis http500内部错误大部分原因
0 o! ]+ Y: \1 L; V% T, @  g
主要是由于iwam账号的密码不同步造成的。
3 W  ], Z! v5 B7 g: x- B
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
7 p, G$ j. J' Y; i5 m& A
执行

0 f3 L: g7 S. @( p  X5 u( ~1 R* ncscript c:\inetpub\adminscripts\synciwam.vbs -v
8 g) C! L. u' r6 V& P3 r
7.如何增强iis防御SYN Flood的能力?
+ n, K  w! ]) _+ I. A% T
) v/ k8 T& P( k* G& D8 KWindows Registry Editor Version 5.00
) b" B8 L, r0 w3 Y8 o
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
; V4 A* l/ |7 _
/ x% r$ d) {: d; ?; T'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
3 _# _" r2 U0 t" f: |1 K
0 `) X5 C0 t: [/ M. H4 S'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
- H, Q/ B0 V% K- S: K
( W. I2 ]9 c8 T4 ?, w  ?$ D* G'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

6 e; S' o0 h7 d' l) o/ l- p"SynAttackProtect"=dword:00000002

; O8 |$ ?$ l0 i7 ]: v* O# d# w+ V, ^'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
3 y9 n% W$ p. @  G$ a5 _
"TcpMaxHalfOpen"=dword:00000064

9 m4 X- w& f, C7 h+ ]4 l( Y# ]'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。

! e2 C+ {9 V7 j9 F  E0 a# t  ^"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
  s; ~* B( B" f* V+ b6 d  Z
'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
, R) V  ~$ |2 x2 G
'微软站点安全推荐为2。

# V, g" X6 ?; ^" I+ ["TcpMaxConnectResponseRetransmissions"=dword:00000001
* Q. C7 _8 p5 k
'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
: q$ w! F' J# `2 L
4 g* E1 u, q3 S- ]1 C. H"TcpMaxDataRetransmissions"=dword:00000003
1 a/ }  X# }1 p; B( }! A$ l4 r4 _( W, |
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
4 m4 r- m# q8 V
"TCPMaxPortsExhausted"=dword:00000005
6 }  Y" w% I3 }- N
'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
6 l$ h8 p2 D% b$ Z, R
9 E0 O( ^6 v3 |# K: }'源路由包，微软站点安全推荐为2。

"DisableIPSourceRouting"=dword:0000002
3 ]% m6 t4 P9 R1 w; N" }. R% K
'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
8 y! c; c; h2 C+ z( ?
"TcpTimedWaitDelay"=dword:0000001e

8.如何避免*mdb文件被下载?
! \& O8 ^8 |/ j$ B
安装ms发布的urlscan工具，可以从根本上解决这个问题。
/ m. H- o9 {7 Y1 t% Y! @( C9 C
同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

9.如何让iis的最小ntfs权限运行?

7 H& E) u5 V" }6 w依次做下面的工作:

3 W& O1 k4 E. B: z$ G5 {a.选取整个硬盘：

system：完全控制

0 K; G, w: A- t6 C3 }1 E- J( R. Cadministrator：完全控制

(允许将来自父系的可继承性权限传播给对象)

b.\program files\common files：
9 e& O3 i& Z9 S6 o+ F
( Q/ }# I- \7 Teveryone：读取及运行

列出文件目录
- P2 I6 {$ j  }% H
读取

( W3 s- P. M7 Y+ f(允许将来自父系的可继承性权限传播给对象)
4 F# X7 b5 B" O$ j) |/ u8 c
c.\inetpub\wwwroot：
/ g9 E, I$ [/ g
0 }& C5 j8 B6 T# C6 Qiusr_machine：读取及运行
7 G) _$ X; g! ~( k
列出文件目录
. p5 O7 e5 w8 t& H$ s
读取

' a% L- t6 t( d, \8 F(允许将来自父系的可继承性权限传播给对象)
6 C) ?2 W" ]8 g! ]
: X% B' ^0 n% y' Z* K! M* |e.\winnt\system32：

选择除inetsrv和centsrv以外的所有目录，

去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

" `- }, J9 N; Uf.\winnt：

选择除了downloaded program files、help、iis temporary compressed files、

# s! ?  K% L8 {  o' q7 ioffline web pages、system32、tasks、temp、web以外的所有目录
8 E0 _8 N1 d2 T5 U- ^
( ?1 V6 p0 G4 N2 \' A( d( L- G去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
4 Y1 z6 \. T; ?% N9 |
' `6 D8 ?7 w& V  {* eg.\winnt：

2 k) P  |+ ?% E6 x! n3 Leveryone：读取及运行
8 a. k5 r  M5 Y% W; h0 Z
列出文件目录
+ v  Z) r6 T1 Q5 I" H& N
8 e" q4 R" W, Q8 H读取

(允许将来自父系的可继承性权限传播给对象)
# a* @# l: O, H7 b& s) D
1 v& \8 U% Z" P& v3 Y* G* Lh.\winnt\temp：（允许访问数据库并显示在asp页面上）

% ^% L& R3 A0 w9 ]everyone：修改
, z8 N! w. j3 `2 D# ^+ m: g* Q
$ Q9 R& G  K# R1 p$ y4 a5 X(允许将来自父系的可继承性权限传播给对象)
, z* K( ?: J3 u( S! g# K9 r
10.如何隐藏iis版本?

一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

& X1 b! `9 b, [. |9 niis存放IIS BANNER的所对应的dll文件如下：

8 `, _9 H+ C& h. |$ hWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
3 c: p3 I  D: C  x4 u! ?4 }9 G( Z
: z( O% X4 e% s! W( gFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

! @0 ]5 ?0 Z+ |0 l/ lSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
. ^# L5 K7 ^1 P( c; W: V
3 D* ]7 y3 R1 w0 Q你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0
% s" ~! g7 h  Q- [" P
具体过程如下:

% A9 b# z6 {1 W+ n; h& P" `1.停掉iis iisreset /stop
8 P" J! N, ]# ~4 _' B# N7 m
/ Y9 y! ]3 l4 k2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件