[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?

修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....

2.如何防止asp木马?

基于FileSystemObject组件的asp木马
; o+ q& y% J& H8 s" b
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
1 [. P4 M" @  k( F: {
regsvr32 scrrun.dll /u /s //删除

' }  n: K) p7 d  d5 R1 R2 u基于shell.application组件的asp木马
* P0 i' B% R+ L1 {) x' Q) E/ f
5 E+ F0 O4 a6 p! T. Ecacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
  u/ r3 r. b7 H! D1 t
regsvr32 shell32.dll /u /s //删除

' N! k! b4 R; |! ^; v+ w) k3 u3.如何加密asp文件?
3 e# W+ A! N/ r8 z. Z. t, `9 y6 d
( @7 L) @" Z2 R' h% {: E  j6 k从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 R% V3 D9 [$ B- ?/ x" g4 B
0 t& [: j/ o  `6 e' B0 _安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

运行screnc - l vbscript source.asp destination.asp
5 _$ a/ x4 B# S+ c1 b
生成包含密文ASP脚本的新文件destination.asp

7 v  t/ e' l& o- x, ]用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
8 B  F  S) N* |, G- s
; ~6 D+ \2 [  I. }7 U; ?0 D, y但无法加密中文。
$ v3 ]. U7 H- L0 s6 O' ~
4.如何从IISLockdown中提取urlscan?

; Q$ {: i* S8 m$ v! U% m) o& Niislockd.exe /q /c /t:c:\urlscan
( y8 t7 E/ N; A5 K" k3 S4 {( t: |
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

1 [& C, z3 D! _' c3 }" f执行

  ?! }3 D1 h  G& }5 Gcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
4 I: G9 d5 m$ ?8 A# x  t
最后需要重新启动iis
0 E8 ^, N& J* w
* T# x& h8 z* W5 ?. ~+ k2 g3 C6.如何解决HTTP500内部错误?
5 S6 |0 R) `- W& d5 a4 `
4 ?0 E% }8 N; ^0 viis http500内部错误大部分原因
* w. {5 ~# S( V* l
主要是由于iwam账号的密码不同步造成的。

我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

) v# z2 S" z5 S# [, g) h执行
- i# b! F1 m2 G0 c; J
, a* [6 H: ~" O; e; Ycscript c:\inetpub\adminscripts\synciwam.vbs -v
& W5 v& I; b2 f
7.如何增强iis防御SYN Flood的能力?

Windows Registry Editor Version 5.00

' h5 k& b8 w: C% i7 o) l[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
3 \4 D* l$ J# F) n" V1 \
'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
: n" U/ C9 y. ]. ]9 k0 [
8 R' k2 L% @; l5 _"SynAttackProtect"=dword:00000002
2 r+ o2 U2 M, H- Z
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

- h( w3 W/ C; {6 w! k'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

/ i& k5 y3 C2 F5 F' O"TcpMaxHalfOpen"=dword:00000064
1 C# g: \1 q( O
'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
) Z4 z! q0 {, B! d  l4 }# o
3 o7 ^$ s- Q9 b) A; t% |"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
4 T: \/ G  O& H  j
'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

! l/ ~  R+ e& \: X6 b% e5 @. J'微软站点安全推荐为2。
& b. K% i0 Y8 H% F
"TcpMaxConnectResponseRetransmissions"=dword:00000001

'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003
: P, A/ x% A7 \6 D
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

  \1 m# O7 @. W8 z"TCPMaxPortsExhausted"=dword:00000005
) C! p- f' R) `: M  f
'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

) o" C8 Q# q0 I3 F1 v8 A, e- w" J, `) _'源路由包，微软站点安全推荐为2。
8 g7 \' h+ G/ w- h5 V
"DisableIPSourceRouting"=dword:0000002
( Y& M- F. e3 Z0 K" a+ d8 A0 B
9 @; W! g1 ?! k: l$ A% b'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
. L  r3 r) m1 X; S/ L5 q
' K" v7 ?( i! |"TcpTimedWaitDelay"=dword:0000001e
2 F( s8 X& m, X. ~! L
( \8 _: E4 l" ]$ w2 V8.如何避免*mdb文件被下载?

安装ms发布的urlscan工具，可以从根本上解决这个问题。

同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

9.如何让iis的最小ntfs权限运行?
5 w' k. T* m. b& `$ d( R* Z
依次做下面的工作:
+ q7 H% ^5 e& H. q9 p
9 p, O( m( [6 y+ K8 c7 Aa.选取整个硬盘：

system：完全控制
* ^! W4 D8 r' _- k& e% y% r: ]
% G, z2 q2 k! q! }& z/ \! Wadministrator：完全控制

3 D9 q+ b9 g1 \" b  v! {; @(允许将来自父系的可继承性权限传播给对象)

1 N7 C8 Q4 K( hb.\program files\common files：

everyone：读取及运行
3 D( ~: {# }. b3 H! s  ~1 `( |
列出文件目录
2 k5 a4 j) k3 S# \" X$ X
, u- ]' C* G; R- l读取

) S5 {3 X8 R* |/ [3 i(允许将来自父系的可继承性权限传播给对象)
. k, w# M+ S# N" P( p- X3 V
+ H( F/ \3 c) fc.\inetpub\wwwroot：
. r$ W# U# z; A) r
iusr_machine：读取及运行
3 V; \  f0 W, v2 X, r, `
- P, y" D4 P6 U9 |4 L列出文件目录
) U$ z* [! ?8 s8 K4 [0 r  Q) `
: c: W- y% s$ a; r+ j" H) z% A% s读取

! \! N' a& l0 T' t(允许将来自父系的可继承性权限传播给对象)

! _# x  w  h7 D6 R4 @e.\winnt\system32：

选择除inetsrv和centsrv以外的所有目录，

去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
7 r8 H9 p* x: ^( D* i/ ^0 j8 V
f.\winnt：

! o7 w& U3 ^8 [# I8 ]/ [+ }, X. C% a# ?选择除了downloaded program files、help、iis temporary compressed files、
! r! F3 G$ ^3 w: _, d
( o+ v) P6 O+ i4 W, U1 Boffline web pages、system32、tasks、temp、web以外的所有目录
7 ?& W7 e7 W; O0 B: |" d" F% d
去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

g.\winnt：

7 I2 |8 H& y* k. q1 v. k  deveryone：读取及运行

% Z* b- n, Z* G$ v/ c6 w3 q  p列出文件目录

1 X7 d, S3 w  `: u( a$ y* V" D( @读取

7 i/ m/ S2 ]  ]) \2 }2 P7 x(允许将来自父系的可继承性权限传播给对象)
+ w- F' t3 [: I3 A0 J, J
' b8 g% s# \& b+ B( Rh.\winnt\temp：（允许访问数据库并显示在asp页面上）
5 b9 [( S4 o& `/ Y0 Y4 N% E
5 R, l" T& b4 L! i  B2 T6 jeveryone：修改

7 F( B) N9 x$ f1 j4 z! x- z(允许将来自父系的可继承性权限传播给对象)
% i; R/ t7 g5 _
10.如何隐藏iis版本?

一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息
8 h% Q$ @2 Q$ B# O1 R
iis存放IIS BANNER的所对应的dll文件如下：
2 k( k+ y2 m' P: T# H& [1 y
5 S9 S$ ]# P/ G6 WWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
) s/ E% ^4 d+ u6 d9 c
8 l6 V; b% z4 A; O, lFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
3 w7 b# {! M1 b( J9 k, W
8 ]% ]% }6 @& N" D* M+ f& QSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

' q5 ~' P2 P" i* P2 j$ E0 O7 J! s你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

具体过程如下:

) f" Y4 L& N9 M$ q; o1.停掉iis iisreset /stop

! M; s, A2 u" P7 Q2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件