[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?
, I, F% A% b. x
8 ^: x2 G+ ^% E修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....

2.如何防止asp木马?
; r$ l3 S9 X: K, d
基于FileSystemObject组件的asp木马

- s+ l7 G# ~$ v# d+ H3 @, ~5 z3 rcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

2 A9 g! B, V0 T! i9 V: eregsvr32 scrrun.dll /u /s //删除
% [: y' x9 J) `* y
: ?2 J' C. H3 M基于shell.application组件的asp木马
: S. I8 O: i  G1 Y
; C. P8 R$ f+ H7 acacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

regsvr32 shell32.dll /u /s //删除

, T2 s* N: Q9 y- X" {3.如何加密asp文件?

  V6 p. e  l2 m7 X1 m$ [6 q( S从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

" L9 E; e/ d) `运行screnc - l vbscript source.asp destination.asp
* m& s% H& @/ Y7 w0 ~
6 s* f2 {3 U5 ^9 ?生成包含密文ASP脚本的新文件destination.asp
4 ^  u! j; n; S) }- j8 P& Z
. l# U/ G1 q! c, D# T: d) h$ T0 c用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

: Q' O( B) s$ A# D1 L2 `+ @' z; l但无法加密中文。
; y3 U0 e" b) K" M0 N; w  F1 z
4.如何从IISLockdown中提取urlscan?

iislockd.exe /q /c /t:c:\urlscan
% o  z' R: X  B9 s. r1 x
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
9 |- ^% c2 c4 {1 J$ h6 P1 p7 I
执行
& s9 N4 G' F' Q+ J9 e6 R% Q9 i6 a9 x
/ E/ }9 i/ R5 U0 ]# s: }+ H! Ycscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
  m2 z* C4 ^9 z/ V& X0 ^# S/ J
# j8 w# L$ S8 C7 L& s6 X最后需要重新启动iis

6.如何解决HTTP500内部错误?
* \6 u* J& ~4 F% K5 T7 b
iis http500内部错误大部分原因
% g, d/ ~' ^8 K, G9 O2 R2 C% s
7 j% R$ K% x- S/ G) v; g主要是由于iwam账号的密码不同步造成的。
$ q+ q7 g, w/ h3 o' _/ q( ~
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

+ Y2 B9 }+ M( `* Z* W执行

cscript c:\inetpub\adminscripts\synciwam.vbs -v

7.如何增强iis防御SYN Flood的能力?
! k, ^) F7 b9 z' B6 M
. \/ i* U- s! |! T( [) Q, f% V7 aWindows Registry Editor Version 5.00
# [, M( j3 X' O
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
3 T( n' I0 Q% m5 P6 U# R3 m
) C6 y! e8 X* \' c4 a'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

$ n! {/ p% V. E) s+ V4 `) x'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
8 u, W* k. g, g/ P
! q. C+ z' U$ n9 A% Z4 y'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
8 r. a9 B+ }7 D3 J
"SynAttackProtect"=dword:00000002
1 d' m7 A; X5 i# I4 h8 [
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
7 f5 U' @! N% `/ U* v( |! [
'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
$ j6 i3 X# \, G0 E: W
"TcpMaxHalfOpen"=dword:00000064
& u  Y* U! d& n) m5 }
'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
7 ?5 B2 A6 ~/ \
  C" c& s$ W; z) Q- `"TcpMaxHalfOpenRetried"=dword:00000050

$ [6 J- U0 M( e, ['设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
7 J9 r! f, Q# w# r
! h! d* b! A( p'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

) \0 ~0 o/ k. J8 Q'微软站点安全推荐为2。

. r' w6 f& M) Y' |"TcpMaxConnectResponseRetransmissions"=dword:00000001

'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

( `  m  m) M3 I' J"TcpMaxDataRetransmissions"=dword:00000003

'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005
6 _: D! s7 i, L1 Q1 Y/ ~2 T6 ]
'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
+ S, H7 o0 o4 c, w& m  r
* E( e0 t1 I% S' y/ ~, h'源路由包，微软站点安全推荐为2。
) o! m# ], x: K5 P/ I
"DisableIPSourceRouting"=dword:0000002

. e7 ^. g. A! G' \'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

1 K* j5 v% ?' j"TcpTimedWaitDelay"=dword:0000001e

1 i6 b/ r+ z& P" X' o$ L, p* N8.如何避免*mdb文件被下载?

. n' I& i0 E( Z5 ^) ]" D* j7 s安装ms发布的urlscan工具，可以从根本上解决这个问题。

同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

+ [, z6 V  |4 Z  ]9.如何让iis的最小ntfs权限运行?
) c' S' ~7 [5 u' _0 A5 j# K. k, m* \
# u+ M& Q5 J, g% D  z6 D  E依次做下面的工作:

a.选取整个硬盘：

/ K% X. Z2 t( G5 H3 A7 }system：完全控制

2 X8 L# k+ u& [! Jadministrator：完全控制
$ f8 Z+ ]! c4 e
: S! p  g8 k  v' E(允许将来自父系的可继承性权限传播给对象)

  I# U, ^5 }, Q9 o: y, o# V7 Zb.\program files\common files：

everyone：读取及运行
; t4 m$ G- ^) ^4 V$ v
列出文件目录
, A: G( z! d# A
* W2 A3 y! ?; ~5 }读取

4 E. S+ I; I( O  ?4 I' b% Z1 ]9 q* q(允许将来自父系的可继承性权限传播给对象)
' O) i' `1 b9 P9 `% G# G
c.\inetpub\wwwroot：
8 H. T: q% \% _0 W# \& ]2 w
6 T. B, H) @; c& m: x2 |iusr_machine：读取及运行

列出文件目录
# J8 [) V* ~' W
读取

(允许将来自父系的可继承性权限传播给对象)
* |5 o' K* O% |: S$ o( ~& I; O
e.\winnt\system32：

选择除inetsrv和centsrv以外的所有目录，
* F1 g3 a: n0 X; B
去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
! e" T: N0 w7 P/ E- F8 }  l& {
f.\winnt：
7 d7 a( ]& J& m4 ^+ h
选择除了downloaded program files、help、iis temporary compressed files、
5 `. o, C# E* M1 V
offline web pages、system32、tasks、temp、web以外的所有目录
* F2 c: w2 v2 q2 A
0 s# i" F$ @& j1 F去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

: Z9 p0 _6 W" K( T7 K4 Ug.\winnt：
, u; B0 x# `% H
everyone：读取及运行

, E* b8 `1 z2 y/ w+ [' E列出文件目录

读取
- f- B# X, @" [
, s7 o  x. I" g9 d- E* O% {- }6 a(允许将来自父系的可继承性权限传播给对象)

- w9 g: C! y% F% x$ jh.\winnt\temp：（允许访问数据库并显示在asp页面上）

everyone：修改

(允许将来自父系的可继承性权限传播给对象)

10.如何隐藏iis版本?

$ \% S8 r# ]+ L+ P3 B' K& u9 f一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息
5 s  e6 v+ M. s# ~7 Z/ D- C) {3 i
iis存放IIS BANNER的所对应的dll文件如下：
+ n! ~# @5 Z; M1 k9 \4 D% `" P
7 Z, d% j9 {1 }# ]+ w6 @- c/ v* \WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
; {8 Z( ^! o& ]2 f
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
* g" N- K$ C8 H  Q; E6 n9 x' Z( ]
2 D) u& ^/ p4 oSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0
3 s# D8 D4 J0 K* f" n/ V; Q
具体过程如下:
. Y) j, N7 ?0 |
1.停掉iis iisreset /stop

2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件