[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?
1 K- I* X" \; |- e% l0 I
修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....

2.如何防止asp木马?

% c: `9 a* B1 _5 E' W3 v基于FileSystemObject组件的asp木马

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

regsvr32 scrrun.dll /u /s //删除
3 Z9 i( `# n1 j% x, C8 B9 X7 V+ f
基于shell.application组件的asp木马

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

regsvr32 shell32.dll /u /s //删除
2 b9 s* U% n" X, b; n7 L# t) o
3.如何加密asp文件?

从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

( |+ H3 K, m# |; V/ y安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

运行screnc - l vbscript source.asp destination.asp

# v1 q6 h8 X3 d, o6 G( v3 T生成包含密文ASP脚本的新文件destination.asp
- h; D/ F- H) m  @; _  }! w
1 T( E1 j1 q) @& L用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

但无法加密中文。

9 x4 ~% I- M$ u2 X9 ^4.如何从IISLockdown中提取urlscan?

( _7 H0 L* @6 siislockd.exe /q /c /t:c:\urlscan
! c, l; [8 c& C
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
- C% M: ^# Q: x8 N3 ]
执行
* |# E% I# O$ w3 j, b
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
" x# o9 q" C, a0 u
7 Q, b1 T/ N1 f' N最后需要重新启动iis
/ }! e9 e9 M3 r; l
6.如何解决HTTP500内部错误?
7 T- [2 j, z4 ~% y7 I1 e/ G
. \- b7 G2 o; R! L' w' ~( Giis http500内部错误大部分原因

主要是由于iwam账号的密码不同步造成的。

0 m" r9 y7 Y2 U; h我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

* q2 @) _& @- \' }, O7 u执行
" d2 n8 b, I" V1 G' S0 e
cscript c:\inetpub\adminscripts\synciwam.vbs -v

+ |! H) y. }: |- d+ c. d7.如何增强iis防御SYN Flood的能力?

Windows Registry Editor Version 5.00

1 j. L* _) R" H, Z7 x[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
3 B, ], a: R) O! G
* N: s( y8 R) b. A# Q'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
1 O: Z+ A# @) E& i6 X
' c1 t8 `" q1 @( i9 v9 H) Z, `'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

! f9 L) J0 e! e% D"SynAttackProtect"=dword:00000002
, ^# ^- @% z3 f! N3 P4 J6 Y
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
8 n; E- K) K* T; y: C
'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

"TcpMaxHalfOpen"=dword:00000064
9 F8 ^2 w! p( E: M5 X, q
'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
3 X; r. X6 e# R( z" M2 P6 B2 z7 Y: k
"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
, V% j$ [$ M  R+ ^
" U6 l0 {5 f) n; R2 x'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

8 f. [4 s, t  v! v9 d'微软站点安全推荐为2。
* i) p( I' H5 B, @8 ~0 f
. F1 C# ~( G  @# a' p, V1 w"TcpMaxConnectResponseRetransmissions"=dword:00000001
: l1 n# X3 T0 _8 {7 J' J
'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
* R( d, S' W! v5 ]+ z6 ~& i6 x
"TcpMaxDataRetransmissions"=dword:00000003
6 T; x  D4 Q) Q: H$ J# E7 h
  o5 Q8 t, }  {'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
2 P9 J7 J$ ]" B( ~' e2 K+ H6 F2 A
"TCPMaxPortsExhausted"=dword:00000005
8 y3 y: T( E8 D. c6 j$ l
' W; i' O& j* [" B, U) C1 I'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
& v3 C% p1 `$ z* r
- \) I0 }& h) q1 ^" X'源路由包，微软站点安全推荐为2。

. l3 U' c( ]6 b  c"DisableIPSourceRouting"=dword:0000002
/ |- w! a$ m  A4 ~1 P
: f1 I6 X5 ~1 l) _'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

/ w; |- b+ P9 B- v: y2 k0 ?. k2 N"TcpTimedWaitDelay"=dword:0000001e
2 R' I! [9 c2 t/ I' n, J+ K
8.如何避免*mdb文件被下载?

安装ms发布的urlscan工具，可以从根本上解决这个问题。

同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
$ ]9 I* m. e, r2 J+ t. z
. g0 J- H3 C9 ?. C9.如何让iis的最小ntfs权限运行?

依次做下面的工作:

  A  J$ x2 w6 pa.选取整个硬盘：
( H. d4 m6 P5 c' n
system：完全控制
3 A4 Z0 ^+ q! F  H
administrator：完全控制
6 N! d- _2 H& b1 X* T$ p
! F# X+ w) X* E) }, P1 Y/ D2 L(允许将来自父系的可继承性权限传播给对象)

b.\program files\common files：

everyone：读取及运行
0 T' u0 s* r' _
# q! n( h8 m5 Z2 q0 A列出文件目录
: V! w) e% U% N4 B4 {. M! k% E
- k; ~) |/ C8 o8 c8 W读取
5 h5 l$ f1 Q, ^. _6 h* Z
(允许将来自父系的可继承性权限传播给对象)
9 }, X) V( H- q- S. P8 M
6 O% ?8 Y4 ~8 O9 y. ?c.\inetpub\wwwroot：

iusr_machine：读取及运行
6 ?2 o- u  q; P% B3 Z
列出文件目录
# I% m6 @* A9 U
读取
3 b2 N. W- }2 [% H! \
+ v# S  K4 }8 T& l" R(允许将来自父系的可继承性权限传播给对象)
4 c2 @8 x/ @# w5 e# L
e.\winnt\system32：

选择除inetsrv和centsrv以外的所有目录，
# T8 v7 k' ]6 Z  ^/ _' ]  G
5 \+ f% e; L4 [; G去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

- {; c: _- \$ W0 l2 W; nf.\winnt：
  L% n4 A/ a' q, T
3 O6 o! h: q. L& R+ \1 ~3 Y% `选择除了downloaded program files、help、iis temporary compressed files、
. V4 c7 K* Q5 H: v; G0 b/ a( \
offline web pages、system32、tasks、temp、web以外的所有目录
8 i' |: Q8 N: E
去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

$ }* `- w7 D8 U) }+ m, {% {9 _5 n; dg.\winnt：

/ G0 |9 F( p7 [* ]0 X* Leveryone：读取及运行

' w% x- P3 n, b4 U+ I- r9 G3 o列出文件目录
9 J4 e1 W0 d; J# k  h/ I
* o/ X4 z% Y) d7 y- V- p读取

(允许将来自父系的可继承性权限传播给对象)

! F4 o$ m7 H1 f7 J# b, O) Ah.\winnt\temp：（允许访问数据库并显示在asp页面上）

everyone：修改

" a4 y! `" H  U4 D5 H5 {$ e5 P(允许将来自父系的可继承性权限传播给对象)

) Z& Y5 ?% \2 I6 E& S; ~( V10.如何隐藏iis版本?
+ M; r& D- [, Z
一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

) V7 f. ^  i: M% S% L5 b0 l1 Niis存放IIS BANNER的所对应的dll文件如下：
$ P, U) B, B6 [  `1 N* m
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
. l, C* {3 _  Y8 w
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

% d' I/ j( _9 |- lSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
$ V3 r2 w* i5 x" v
( N' x# p( |! T4 m- {0 C你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

/ h' b/ N5 L8 ~) Y& \具体过程如下:
' t! c4 ~& ^6 Y9 v* C, n
$ E/ b2 _, y0 l1 z4 l1.停掉iis iisreset /stop
# J% q+ \$ o# ^' u) U9 i
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件