[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?

) U! F9 m, y; M7 X$ K修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
3 ^8 b; B$ s6 K* f. a# o! T0 L
2.如何防止asp木马?

基于FileSystemObject组件的asp木马

6 p  _/ j- L0 A" F! e1 j6 T/ Pcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

# I6 [4 W# l, m2 T. r, d+ }# ~regsvr32 scrrun.dll /u /s //删除
7 u& X/ W  ?: B6 m6 y" _$ B# w9 F
' S$ {  v' K$ h9 q7 y4 y) \. A基于shell.application组件的asp木马

4 u/ Z3 B1 L1 k2 r$ D* N! ?cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
9 P! k6 ~) u6 Y+ Q& W8 J: ?' ]) h; `5 |
regsvr32 shell32.dll /u /s //删除

% Q1 E! p  j: i5 W+ i3.如何加密asp文件?
: r+ r0 S  B1 K/ ~
3 Z8 o" {+ r9 O: }  V% |从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
* d- T! `2 z" {: |9 o: r+ ^7 H* U% p
% p3 U0 T  [8 O% y0 y) L4 x安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。
$ p' f( P) i6 Y
3 u, Q8 T( m6 D  Y# A5 _2 v4 a运行screnc - l vbscript source.asp destination.asp

生成包含密文ASP脚本的新文件destination.asp
4 u# b- A; m2 G9 K3 R
9 ~: j+ F9 G4 i) E# N; J( X0 h用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
' a( Y) a( g" U2 J4 B/ ?9 L* `: s0 Q
但无法加密中文。

: Z) N* z$ w( j4 }! @: j+ ]! v4.如何从IISLockdown中提取urlscan?

iislockd.exe /q /c /t:c:\urlscan

5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

执行

cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
+ [% `: P+ N3 d4 y0 r/ e' ^
% \) Z+ `- x  R" Z最后需要重新启动iis
, g- ]6 m9 w2 ?4 V! C3 l, U4 Z
# A% `1 E' j+ h( R0 F2 \; E( s6.如何解决HTTP500内部错误?

iis http500内部错误大部分原因
1 R0 P, A# e$ p5 _3 B) v  v
主要是由于iwam账号的密码不同步造成的。

2 ]8 p- I: w& Q4 X2 D5 e4 c5 ]. X我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
( |7 E8 w1 h& a
' q% X# u" h/ Q) C1 E: D2 q执行

! x! i) w9 O0 g; G4 xcscript c:\inetpub\adminscripts\synciwam.vbs -v

" \1 _. i. l* S$ r# F( L' ?7.如何增强iis防御SYN Flood的能力?
# u$ b- y( k( O9 \$ r$ P
Windows Registry Editor Version 5.00
" L5 K* {; C. p& Y' ^# Z/ {
- @* F& W3 o1 L# O& C) k[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

+ f( f2 z! Y& s; C- ^$ t'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
) \3 ~, ~% D: ~. Q& {+ @/ H0 b& `
  |5 k5 c( [1 Z. n2 M3 r'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

% _  b1 u7 @. S1 |% c"SynAttackProtect"=dword:00000002
7 [) U5 M3 e6 x3 d8 ^6 G3 N
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
6 m2 W2 \/ e4 B& {
6 U& V0 @/ a  ^1 A1 n'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
0 |% R2 X" U  h" {6 l% s/ V- N
' F) s% n0 @6 |5 z, {"TcpMaxHalfOpen"=dword:00000064
: s" ~! `2 B; n9 I: [* o. L
0 i) U( W2 ^$ k% t7 a4 @9 e'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
% D- o6 j: h3 z6 S. Z, i
"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
% F1 I2 q5 a& P
'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 r# U6 r' g: a' G
9 U1 ]. R6 \3 G' J' s% T  d'微软站点安全推荐为2。
) _, n6 d& T' d5 ~: v
"TcpMaxConnectResponseRetransmissions"=dword:00000001
; Q, o& N% g; r% O+ W7 K  U
'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

# n: M8 h9 N: y/ W0 M"TcpMaxDataRetransmissions"=dword:00000003
3 h( f+ A2 [+ w+ K+ J% c" [0 Z
  l0 _# r2 j3 `'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005
# E, w) S# W% }9 }4 t9 Z5 u
) M* G' M9 d: i/ @6 N'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

2 R, l: j- v+ L, F) T, G6 a7 F'源路由包，微软站点安全推荐为2。

"DisableIPSourceRouting"=dword:0000002

$ r3 ~; s: \1 t4 @& l7 ]'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
4 ~" r/ ^- z& F; J
; |) ~3 s9 U) ~- g, U9 Y4 Y"TcpTimedWaitDelay"=dword:0000001e
" C" T# f0 q2 B; c6 f: j
8.如何避免*mdb文件被下载?
1 N, C( ]3 x, l- }
安装ms发布的urlscan工具，可以从根本上解决这个问题。

! H2 v) d$ q( j6 S6 j同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

9.如何让iis的最小ntfs权限运行?
, ?' m  o* P3 ?  V0 \# D
依次做下面的工作:

2 [( Q! t7 w8 j2 U0 Qa.选取整个硬盘：
* u4 c$ @# ^' A  W. ~2 o
+ _% M9 c. z2 `+ N% i; Usystem：完全控制
4 ^' y4 Z0 L1 S
0 E- E, Z7 Y1 z7 d. s$ \administrator：完全控制
4 Y4 y" u* Q) N& O$ I
" |4 W1 I. ~5 g: m, R  w% s" P(允许将来自父系的可继承性权限传播给对象)
, t8 l8 R; y& K
+ d2 u$ A9 L0 u; F7 jb.\program files\common files：
% c- c3 i( S, L. t" Q5 p" l/ Y' E4 U
. P. F) n( H0 d+ J) a) h0 }everyone：读取及运行

列出文件目录
0 y" [# c' c) |" _1 U- V0 F
读取

(允许将来自父系的可继承性权限传播给对象)
- l* r! D8 c8 X. O1 h6 \# ]/ z
c.\inetpub\wwwroot：
4 f( ]% R  |3 {$ L/ |3 U" k
6 W. C: F0 d- d5 S& P  k' b' Oiusr_machine：读取及运行
2 e  _( F3 X0 j( I  K
! ^+ a+ D  G& J: z6 [2 F3 P列出文件目录
$ O9 ]% ^# ~' d0 [5 F7 ~
读取

(允许将来自父系的可继承性权限传播给对象)

e.\winnt\system32：

选择除inetsrv和centsrv以外的所有目录，

去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
$ h, Q+ O* _0 P  `* s0 G) y% }8 |
# @+ `( u5 O) G# c; Bf.\winnt：
! f4 G- _; F/ M2 V# _
. o* |8 w9 g  T; `0 L/ B选择除了downloaded program files、help、iis temporary compressed files、
8 S3 r+ I5 Y9 ~% F0 y2 d
offline web pages、system32、tasks、temp、web以外的所有目录
% o& @3 V  ^+ C& J7 e' @: I6 D
8 n+ S' a( b+ @& z去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
. R% U6 I6 v3 S: U, J
g.\winnt：
0 X  f' O! }: o1 W% H3 \
0 [- f  U$ @0 Xeveryone：读取及运行
- H- Z$ ^2 t: P' l; [; J4 U
* o2 }5 G6 F# }" n7 _列出文件目录
$ R/ M: _% y5 {
读取
5 R$ l/ r8 c& p8 `$ V, Z
(允许将来自父系的可继承性权限传播给对象)
6 ?+ X+ M2 W, f8 q- d7 W1 ^8 L$ T+ n
h.\winnt\temp：（允许访问数据库并显示在asp页面上）
3 e3 ]; W# ]( x
+ b& W% ~) i/ {7 \# t: x5 ?everyone：修改

(允许将来自父系的可继承性权限传播给对象)
' k& a: D; K% l' `5 T! y- z
# n) r& C/ e) h10.如何隐藏iis版本?
2 z0 v* a9 _# ^6 k6 r
$ [. R6 z1 H. A一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

* f3 w6 O0 C2 a# m3 I7 `iis存放IIS BANNER的所对应的dll文件如下：

WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

" K( a- C# K2 @) uFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

具体过程如下:
$ @" U& F! r/ l3 I! S
1.停掉iis iisreset /stop
" |6 C* V+ `( d3 e0 m, B
' d0 i0 {! t' I0 Q; x2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件