[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?
5 T) t, F/ d6 B- ~
* Z0 a: S8 K: d: [' i( ?; a: t1 U修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
" M+ N- B8 G2 e$ `
& C1 w0 }; E; o5 J5 O2.如何防止asp木马?

) d. a) p  T9 n& O1 B- j- K- B9 r基于FileSystemObject组件的asp木马
8 d: t$ ^  \, O/ |' h% o! g
8 O% D( a  X0 k) b9 tcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
+ e( R( e& `5 S. T1 K( _
regsvr32 scrrun.dll /u /s //删除
6 F7 I) L& J8 n  b. B
. H7 }9 A5 `5 U$ X, C' k) r& _基于shell.application组件的asp木马
, {+ e7 M. y/ x0 e
* d+ T" }; i$ V+ S" wcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
6 {7 `  D1 E3 f; m8 }* q" N
regsvr32 shell32.dll /u /s //删除

" L7 J( B5 O& f: T0 l, L0 \. a3.如何加密asp文件?

从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
) ?9 F* Y. V+ K- `7 I
安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。
, ^8 N$ g/ D7 q' |0 t* Y6 u+ U) a
/ a/ f0 O& _0 w# ?1 G% t运行screnc - l vbscript source.asp destination.asp
& ^) e9 a, P" V6 w0 A, v
) J$ h& P8 F& v- `' m* U+ \; e生成包含密文ASP脚本的新文件destination.asp

% V0 M; C+ W; Z) v0 T用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
2 k( X! e# b/ @/ ^: I  ^
, o- \: j0 s; _6 `但无法加密中文。

4.如何从IISLockdown中提取urlscan?

iislockd.exe /q /c /t:c:\urlscan

- @$ _! }. U# g5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
8 M* }0 u  Z% D6 V, [5 f
执行

1 u8 J9 r7 x6 [6 _- [8 xcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

最后需要重新启动iis

  v* a+ z: _) y6.如何解决HTTP500内部错误?
8 [* s& s  X' _  W# s5 X% Q5 g+ x
; }) X# T6 r) `4 t- p3 Kiis http500内部错误大部分原因

# @9 A2 a  ^$ ~: K1 |5 l4 O2 @主要是由于iwam账号的密码不同步造成的。
/ L* _$ J# e% i0 M
" [' }) z) B( g4 i4 _& p+ y: J+ z我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

+ I! ~' K% A  `( e, R8 L) l执行
% {5 C8 Y- p& G, V& D7 J
. G9 b+ |* i& I2 }; a% ~/ }cscript c:\inetpub\adminscripts\synciwam.vbs -v

7.如何增强iis防御SYN Flood的能力?

( j) o$ e  q+ [+ R# V4 UWindows Registry Editor Version 5.00
# b: u* L' U# z- V! L
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
- n2 \4 b, y" l& K: B7 Z+ J" X+ @
+ I  o! A( Z2 \- f) K9 N'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
2 c2 d+ o7 U' Z) T! m' M9 C
'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
* E6 _2 P/ `( N  r
6 ~6 p3 \! X( C, U$ a3 k; V- m'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
2 ^0 W$ E) P  c& {+ t
& b$ K/ |' m8 C"SynAttackProtect"=dword:00000002
+ C: r1 _' P8 E" I* n6 d% l
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
9 }# ~  @0 J1 g$ T
% _# l# L3 H$ L'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

* l$ b) f0 e$ t4 k* G3 F  k"TcpMaxHalfOpen"=dword:00000064

'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
5 i+ ?% u' P* ~" Z  j# l0 m
"TcpMaxHalfOpenRetried"=dword:00000050
* ^) B, Z5 p8 R9 A/ M  M  f- `
; g$ z( n* _6 o) C( A'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
) V# _* ]: O" s: E* l, ]
'微软站点安全推荐为2。

# v- y  {/ I  z9 e) n"TcpMaxConnectResponseRetransmissions"=dword:00000001

. n# N( i8 [% y9 O/ w: S. Q2 A'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- l8 W6 K3 ~4 {8 Y5 Z/ w- n
"TcpMaxDataRetransmissions"=dword:00000003
. y7 {" E5 F9 R: a" b9 v
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

) Z/ D" o. V( W9 c1 P"TCPMaxPortsExhausted"=dword:00000005

'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

& f7 H9 }7 O1 O3 R3 |( s'源路由包，微软站点安全推荐为2。
; o: Y2 ~) X/ L
/ h4 c/ p! z4 |"DisableIPSourceRouting"=dword:0000002

7 ?! o: @- f8 r/ r. W8 w'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

"TcpTimedWaitDelay"=dword:0000001e
: N* e+ f2 D8 o1 \; E- @, t
* h9 j! v8 r. G& \# B( L3 \8.如何避免*mdb文件被下载?
4 K# v, N# A8 k+ v
安装ms发布的urlscan工具，可以从根本上解决这个问题。

% M) G* L: q" k5 R0 |, m. M+ r同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

9.如何让iis的最小ntfs权限运行?

依次做下面的工作:
0 H9 R( Q" D! W9 d3 Y  M
a.选取整个硬盘：
5 F! }  e8 j! E5 `/ H! ~) x
system：完全控制

administrator：完全控制
! i0 w0 z8 o1 g& @3 R! N+ U
(允许将来自父系的可继承性权限传播给对象)
4 O3 R" K* z: @
b.\program files\common files：
' o+ \$ C+ q! t% n" e" ^
everyone：读取及运行
; \! h* m( q0 g- c' o4 J
列出文件目录

读取
) P. u2 _- g9 p
1 x, ?* |' |4 l# k" g(允许将来自父系的可继承性权限传播给对象)
! v$ V, v' ?2 j1 Z7 y9 Q1 p& n
5 M5 t9 G$ _. ~% _  fc.\inetpub\wwwroot：
$ }' j7 v, X2 V+ ]% @% T0 F
5 d5 l5 C7 [/ Q' ^# p: Iiusr_machine：读取及运行
: A/ ?+ D0 b9 U( ^% {( e! c
列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)

e.\winnt\system32：
2 J$ w7 {, W' c! z  N8 [8 |0 g) h% w5 M
选择除inetsrv和centsrv以外的所有目录，
; b2 U2 R9 z* D) t6 k' ^3 I
0 e4 }% {8 N9 X- `7 l& N2 ]3 Y" C; `去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

. G$ P) V9 f( N5 v! Lf.\winnt：

% [& S6 t9 V2 H4 \1 K1 [" P选择除了downloaded program files、help、iis temporary compressed files、
5 B, |9 m% e' [6 x, b+ P; l+ ^
offline web pages、system32、tasks、temp、web以外的所有目录
' J2 j/ K  F+ z' u+ Q- L- }
去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
+ D/ J: C* k: O6 C
0 ~" k8 F& u2 z' q- ig.\winnt：

4 i" S2 U: ^$ e2 ~. D& d, oeveryone：读取及运行

" Y5 v1 h( o5 {列出文件目录

读取
; y  B- ]! Y2 p% y6 w4 p- K, O
7 R$ P( d8 A7 f" D(允许将来自父系的可继承性权限传播给对象)

* t2 s; d  y9 {h.\winnt\temp：（允许访问数据库并显示在asp页面上）
/ Q) n$ a8 f4 e" k# t4 x/ V# {
everyone：修改

(允许将来自父系的可继承性权限传播给对象)
7 P1 G7 X8 _1 a* u0 K7 q
10.如何隐藏iis版本?

% M7 [9 P* J3 [2 V9 G一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

iis存放IIS BANNER的所对应的dll文件如下：
' A* z: ^9 a" l  E  S4 O
# U5 y" v8 F3 R& W. d* l9 F2 dWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

, n, s- ]2 D& e8 O' P; a0 pFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
, y- Y/ r& H0 T) o/ a$ u7 r: H
1 q  x9 M( q  J9 w% ^/ [  ^SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
1 v$ S6 P5 @. ^
* b; L: p! R4 k8 `1 w你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0
. f, |4 x0 N* y  i
2 C7 i5 _3 G. n3 `& g" Y: o' L6 V具体过程如下:
' ^1 d+ V( K& b9 x0 f; J' J
1.停掉iis iisreset /stop

2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件