[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?

修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
; H1 i# c8 o' s0 K  o7 @0 p
2.如何防止asp木马?

基于FileSystemObject组件的asp木马

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
4 d. b8 Z: l' @8 u& N( L( y
regsvr32 scrrun.dll /u /s //删除
+ W, P/ i- q6 p  Q9 d# X
& Z5 E- r6 _* J6 L7 N9 A; D基于shell.application组件的asp木马
( n9 }: p1 Z) w4 m" b
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, o$ Z$ r& Y/ A: j9 w7 J
' y! z" L: u% A- L8 fregsvr32 shell32.dll /u /s //删除
0 _2 f+ U0 J$ s5 f& |# l- ~/ U
3.如何加密asp文件?

  R; x. g+ \, V  S+ V( q从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
, Q, g1 y& y! J$ ]0 H. C
安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

运行screnc - l vbscript source.asp destination.asp

8 n* @# X  Y- u# ^+ J* A9 `+ |生成包含密文ASP脚本的新文件destination.asp

+ q! W( m( D9 N& X8 D7 Y( q: I6 H用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

但无法加密中文。

4.如何从IISLockdown中提取urlscan?
! u, u  n! q( L
iislockd.exe /q /c /t:c:\urlscan
# g0 [, ?' P  U. i& a8 o
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
+ J7 S" B/ @! [+ u1 S( b# |
执行

cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
% W3 L8 J! Q0 ^
/ R* `) ?6 ?% {& m2 ^( P* T最后需要重新启动iis
' u: J* [) @( E
6.如何解决HTTP500内部错误?

iis http500内部错误大部分原因

主要是由于iwam账号的密码不同步造成的。

我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
! b, D5 w8 N$ N) q5 S  D* S
2 Y6 f8 g/ O4 I# V# t! S, U执行
0 V( a) Z# v: E/ T% A, x3 N
6 t# U; ^% U! N9 ], K, m6 `; Icscript c:\inetpub\adminscripts\synciwam.vbs -v

7.如何增强iis防御SYN Flood的能力?

) Y0 K/ D' s& b1 o/ T. g% N0 ~" aWindows Registry Editor Version 5.00
' ?3 f* M8 D1 t3 i
  s8 J$ b- U% A. k- ][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
7 }. V* r+ `1 a1 O( ^4 l; j
'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
$ n" y4 O$ ]2 s% o" f
'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
5 o" D3 a0 X& N* B5 C; Z
2 P0 j) K0 m/ \( v9 Y"SynAttackProtect"=dword:00000002

'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

" e/ }* {3 W* w# I! m: t$ \'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

"TcpMaxHalfOpen"=dword:00000064
0 J4 T0 ?* x/ k. P% R
% l5 o  {/ a' Q8 e$ N'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
+ t% c4 _1 p+ u' A+ A
9 R) r: h# P* i* G6 c"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
9 @3 W( d% y2 y. q: q/ I! H7 e
4 Y4 z/ D! o$ u5 i% r) ]3 p'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
/ f& G8 V. g5 _6 R, @
'微软站点安全推荐为2。
! |- f: \  z! d* _
"TcpMaxConnectResponseRetransmissions"=dword:00000001

'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

! K' Y# m: o" }6 T/ v! y+ \"TcpMaxDataRetransmissions"=dword:00000003

4 @( z2 `% P' u+ y% t5 Y4 |'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005
$ v, v* ~, n* b3 X( @  y  B2 e
5 q2 C. Q( ?: V' {+ x/ k'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

'源路由包，微软站点安全推荐为2。

) q4 y$ q7 _. c* Q/ G; M- b"DisableIPSourceRouting"=dword:0000002
6 Z- V# y/ f9 C' D% Y
'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
: e# }. a8 S; m. B
"TcpTimedWaitDelay"=dword:0000001e

; e" h; Q& v, A8 x7 ?8.如何避免*mdb文件被下载?
! k6 I  C* c) N# E: k3 c$ d0 u- e
安装ms发布的urlscan工具，可以从根本上解决这个问题。
9 V% y7 k/ W+ x( P/ o5 z! G
同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
/ E7 {+ `" C  G& N6 B% M
9.如何让iis的最小ntfs权限运行?
* j" S8 {$ T" G8 Q
依次做下面的工作:
1 G1 X0 A9 h& S3 o: o# ?
& U! X' J  t* O% H' la.选取整个硬盘：

$ N! m  n6 _7 W/ T. Q4 H$ nsystem：完全控制
0 H  X3 w6 i! _: f( S  t4 Z1 ]
administrator：完全控制

# c8 j$ ^; l- l7 K(允许将来自父系的可继承性权限传播给对象)

b.\program files\common files：
3 g# ]# `7 @4 F, d/ @
everyone：读取及运行
  @6 e' w4 a0 E( I: D9 l- z+ v
& e) ~9 U' X3 _3 Q$ C列出文件目录
) z, F1 |' a9 ?" d& Z! n
" `, J& d$ N" F/ j! h3 R  n% u读取
. k, O  o  r6 Q! r: p
/ T7 n( N/ d3 v) a( z(允许将来自父系的可继承性权限传播给对象)

# G# d1 G8 u, u- p$ ~7 fc.\inetpub\wwwroot：

- A) W* W' x8 Q* U$ X# l- t9 ?iusr_machine：读取及运行
3 q) P8 c: e* i0 t+ j
& ?6 V1 H* t% i/ G- \2 r列出文件目录

/ t! D% ]3 ^8 b. ~读取
7 d. u* H( T( L  m6 C- H
+ |* S! l# O* P) S(允许将来自父系的可继承性权限传播给对象)
& ^; F% M$ o( E! o8 U& L3 |5 R
: x- r/ W+ c, {  @# [9 L, ~e.\winnt\system32：

0 }- I9 v4 n% O4 R  _9 d% f选择除inetsrv和centsrv以外的所有目录，

去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

; U! D- d# C: ?( c& h2 J6 t1 O: wf.\winnt：
0 }% f4 ], n5 ~# K
. r0 ?+ s/ \/ o8 ^8 C  h& p* y选择除了downloaded program files、help、iis temporary compressed files、

" E( Y% o' k! Moffline web pages、system32、tasks、temp、web以外的所有目录

" p, H" Y8 `+ s% ?" b1 o) ?去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
8 y- e' x. r; Q+ {
g.\winnt：

everyone：读取及运行
4 B! P& N" g5 _4 ~: n
: z" g/ v4 P3 V+ I, h6 ]+ F; z3 I列出文件目录

读取
; ~# D5 m# X" ]2 u
2 H5 {- Q; {" }' ^(允许将来自父系的可继承性权限传播给对象)

h.\winnt\temp：（允许访问数据库并显示在asp页面上）
/ X. u* n! e; a" r3 ^
everyone：修改
; Q" B4 ^1 l! k7 v. G
(允许将来自父系的可继承性权限传播给对象)
6 w1 m1 c& J- v0 r
10.如何隐藏iis版本?
) u6 x/ Z2 I+ Y" A+ Z- x2 N0 j# J
7 B: o  R9 C* {% W一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息
6 i- `/ g9 n2 _8 b& O7 l
( L$ m4 p" I5 Y& \5 c3 e0 ?, t2 miis存放IIS BANNER的所对应的dll文件如下：
: X/ [) I% m3 N" b
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
4 w' b, b/ d8 N7 O% s
  g' E& k* W  V- c你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

. m1 l: S* v+ m" R" X$ L具体过程如下:

1.停掉iis iisreset /stop

' ~% Z) b) t- u8 y9 o; m' a2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件