设为首页

广西经贸职业技术学院论坛

 忘记密码
 免费注册
查看: 2032|回复: 0
打印 上一主题 下一主题

[建站技术]网站服务器IIS常见问题完全解析

[复制链接]
  • TA的每日心情

    2019-8-18 09:37
  • 签到天数: 2 天

    [LV.1]初来乍到

    跳转到指定楼层
    楼主
    发表于 2009-10-16 01:35:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    1.如何让asp脚本以system权限运行?8 [7 M$ ?/ g) }! k- h0 m5 A
    ) G) M# k  P% `6 Y& r" f: P3 t, h
    修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
    ; H1 i# c8 o' s0 K  o7 @0 p2 T; x! N- l& N: M
    2.如何防止asp木马?' K$ ]8 z/ S7 |: ]" J) k( C- J5 _
    7 q& c- i& t" ^2 M0 x  P( [
    基于FileSystemObject组件的asp木马" F3 H% c4 t8 [) s- f4 [5 M
    % U: s% |: }- x) t
    cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
    4 d. b8 Z: l' @8 u& N( L( y3 b+ n. H1 M$ W9 |/ I) x9 l' T' i
    regsvr32 scrrun.dll /u /s //删除
    + W, P/ i- q6 p  Q9 d# X
    & Z5 E- r6 _* J6 L7 N9 A; D基于shell.application组件的asp木马
    ( n9 }: p1 Z) w4 m" b6 D' t4 y, N' B
    cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
    , o$ Z$ r& Y/ A: j9 w7 J
    ' y! z" L: u% A- L8 fregsvr32 shell32.dll /u /s //删除
    0 _2 f+ U0 J$ s5 f& |# l- ~/ U0 Y6 D2 i+ Q6 f4 Q6 Z9 c+ c  l9 u% B
    3.如何加密asp文件?+ L; ^$ i' W% O# }

      R; x. g+ \, V  S+ V( q从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
    , Q, g1 y& y! J$ ]0 H. C* b) A6 v; n1 h9 g! L2 @
    安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。+ @* T- c% r: I/ Z5 c! E9 v
    8 Q1 g3 w$ w4 H# Z4 o
    运行screnc - l vbscript source.asp destination.asp* g$ N  o& S! O) b" `  M

    8 n* @# X  Y- u# ^+ J* A9 `+ |生成包含密文ASP脚本的新文件destination.asp% w5 |- O$ X  D2 `. @! ?

    + q! W( m( D9 N& X8 D7 Y( q: I6 H用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了1 ^  Q/ c8 |, U; p5 }
    4 M' O4 k) n* i
    但无法加密中文。! v. ~- C& h9 j
    2 s% m+ u1 j8 Q) v
    4.如何从IISLockdown中提取urlscan?
    ! u, u  n! q( L. f9 W* n: E, ?6 a' I5 s  S
    iislockd.exe /q /c /t:c:\urlscan
    # g0 [, ?' P  U. i& a8 o& v) {! m: z! D! }+ `: l/ ?) ]( d% k/ S
    5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
    + J7 S" B/ @! [+ u1 S( b# |! I) `& |1 C5 X6 L4 K; z1 e6 U
    执行% B. b! v# R  B' a# h; U$ x
    0 _) k2 g: s  W$ ~: Q
    cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
    % W3 L8 J! Q0 ^
    / R* `) ?6 ?% {& m2 ^( P* T最后需要重新启动iis
    ' u: J* [) @( E. c6 V. o8 ?0 m* U7 P
    6.如何解决HTTP500内部错误?8 A) R) O) a* `2 H- X, |- I  B
    ( D2 t! q$ L7 Q" q' x% P
    iis http500内部错误大部分原因9 A3 E; e) ^3 j0 a, n
    / r* u- n7 |; ~* ]+ Y3 x
    主要是由于iwam账号的密码不同步造成的。. Q; S- w' r# S  v1 G$ d' [4 m9 k
    # G1 k) O, [; Z
    我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
    ! b, D5 w8 N$ N) q5 S  D* S
    2 Y6 f8 g/ O4 I# V# t! S, U执行
    0 V( a) Z# v: E/ T% A, x3 N
    6 t# U; ^% U! N9 ], K, m6 `; Icscript c:\inetpub\adminscripts\synciwam.vbs -v  S8 }: p. O: k
    * ^4 ^% |- G+ }; ~
    7.如何增强iis防御SYN Flood的能力?" `$ ?5 K3 M1 @3 X& S

    ) Y0 K/ D' s& b1 o/ T. g% N0 ~" aWindows Registry Editor Version 5.00
    ' ?3 f* M8 D1 t3 i
      s8 J$ b- U% A. k- ][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    7 }. V* r+ `1 a1 O( ^4 l; j* s; w3 g, L- |* B
    '启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后" y( M2 }( s+ O
    ) ~/ E4 ^7 J/ q3 W5 \
    '安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
    $ n" y4 O$ ]2 s% o" f; e( S% _3 [. b7 f
    '设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
    5 o" D3 a0 X& N* B5 C; Z
    2 P0 j) K0 m/ \( v9 Y"SynAttackProtect"=dword:00000002* u( b( [4 k; `% e+ Q  @6 |
    / o" K& D/ [/ N' ?  P: K" m9 C, R
    '同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态/ a4 H; f' T- S

    " e/ }* {3 W* w# I! m: t$ \'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。. {* h- d; K3 E* A* k
    4 q: ^$ U$ O* i
    "TcpMaxHalfOpen"=dword:00000064
    0 J4 T0 ?* x/ k. P% R
    % l5 o  {/ a' Q8 e$ N'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
    + t% c4 _1 p+ u' A+ A
    9 R) r: h# P* i* G6 c"TcpMaxHalfOpenRetried"=dword:000000505 Q; y: A6 V2 I! O6 i! z+ T
    ; c" u& R3 `/ A0 h/ l' U
    '设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
    9 @3 W( d% y2 y. q: q/ I! H7 e
    4 Y4 z/ D! o$ u5 i% r) ]3 p'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
    / f& G8 V. g5 _6 R, @2 f9 N& y8 `# W0 K& Y3 L
    '微软站点安全推荐为2。
    ! |- f: \  z! d* _8 W/ m' G  o: {8 t
    "TcpMaxConnectResponseRetransmissions"=dword:00000001# i1 }0 L, i: i3 U9 q8 z
    # t" u/ }9 g: F5 D" Y
    '设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。: W0 L' Z' k/ b

    ! K' Y# m: o" }6 T/ v! y+ \"TcpMaxDataRetransmissions"=dword:00000003/ l, G2 w1 b! s

    4 @( z2 `% P' u+ y% t5 Y4 |'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。+ C( X4 u' u$ i4 L' ~/ G
    3 M  \* H& K9 O9 c1 r5 L( e
    "TCPMaxPortsExhausted"=dword:00000005
    $ v, v* ~, n* b3 X( @  y  B2 e
    5 q2 C. Q( ?: V' {+ x/ k'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的$ u# h0 x. c3 ~0 Z0 I, o" H
    $ B- U; ^6 X* ^6 f  M5 c$ ?
    '源路由包,微软站点安全推荐为2。" i% O9 S7 o# F; A" t4 a$ y/ X

    ) q4 y$ q7 _. c* Q/ G; M- b"DisableIPSourceRouting"=dword:0000002
    6 Z- V# y/ f9 C' D% Y% C) s9 A5 R& f( Q! P
    '限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
    : e# }. a8 S; m. B2 Z" g( Y9 |/ Q# B9 Y( ]6 y
    "TcpTimedWaitDelay"=dword:0000001e" a. ?6 o0 g) k4 ^5 q1 B* R6 F* u% m

    ; e" h; Q& v, A8 x7 ?8.如何避免*mdb文件被下载?
    ! k6 I  C* c) N# E: k3 c$ d0 u- e+ |- K- o' r; O( x0 f- V7 x) k
    安装ms发布的urlscan工具,可以从根本上解决这个问题。
    9 V% y7 k/ W+ x( P/ o5 z! G8 Q- e8 F* f- ^2 O1 N
    同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
    / E7 {+ `" C  G& N6 B% M- s, C& g4 i0 T* \
    9.如何让iis的最小ntfs权限运行?
    * j" S8 {$ T" G8 Q7 \1 B7 C" c8 `, B, m. f; C& U! A
    依次做下面的工作:
    1 G1 X0 A9 h& S3 o: o# ?
    & U! X' J  t* O% H' la.选取整个硬盘:9 C, |( ^3 X7 n! C

    $ N! m  n6 _7 W/ T. Q4 H$ nsystem:完全控制
    0 H  X3 w6 i! _: f( S  t4 Z1 ]1 e4 I; `  ]) i  `' v% |
    administrator:完全控制6 n0 c7 |0 ~' c; T$ I2 W

    # c8 j$ ^; l- l7 K(允许将来自父系的可继承性权限传播给对象)9 q* q* H6 f: {2 T. X
    3 l# s" L* I' [/ u8 a8 c
    b.\program files\common files:
    3 g# ]# `7 @4 F, d/ @; X* r: ~" O+ B% I& W
    everyone:读取及运行
      @6 e' w4 a0 E( I: D9 l- z+ v
    & e) ~9 U' X3 _3 Q$ C列出文件目录
    ) z, F1 |' a9 ?" d& Z! n
    " `, J& d$ N" F/ j! h3 R  n% u读取
    . k, O  o  r6 Q! r: p
    / T7 n( N/ d3 v) a( z(允许将来自父系的可继承性权限传播给对象)5 P1 D- }4 ]: L& G: B& C9 N

    # G# d1 G8 u, u- p$ ~7 fc.\inetpub\wwwroot:" E$ u/ d3 ^1 `0 [

    - A) W* W' x8 Q* U$ X# l- t9 ?iusr_machine:读取及运行
    3 q) P8 c: e* i0 t+ j
    & ?6 V1 H* t% i/ G- \2 r列出文件目录1 L# d# }1 v7 K

    / t! D% ]3 ^8 b. ~读取
    7 d. u* H( T( L  m6 C- H
    + |* S! l# O* P) S(允许将来自父系的可继承性权限传播给对象)
    & ^; F% M$ o( E! o8 U& L3 |5 R
    : x- r/ W+ c, {  @# [9 L, ~e.\winnt\system32:# H3 ]: I4 A; c" G5 t5 a% T) Q) c# K8 |

    0 }- I9 v4 n% O4 R  _9 d% f选择除inetsrv和centsrv以外的所有目录,) T3 M" s) `& A* y/ Z% c
    4 X5 {3 D8 U; x2 w! x+ t: Q" r
    去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 Q$ u% Z/ O: T

    ; U! D- d# C: ?( c& h2 J6 t1 O: wf.\winnt:
    0 }% f4 ], n5 ~# K
    . r0 ?+ s/ \/ o8 ^8 C  h& p* y选择除了downloaded program files、help、iis temporary compressed files、" {. {4 i; P: }. I- o3 O& W, u( r

    " E( Y% o' k! Moffline web pages、system32、tasks、temp、web以外的所有目录- o5 g! a% \0 X9 x+ M5 E( v

    " p, H" Y8 `+ s% ?" b1 o) ?去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
    8 y- e' x. r; Q+ {( ]- F5 O3 @. {5 w& F+ D. J
    g.\winnt:2 f5 e& Z+ [. v5 J
    ) `* B$ B/ T! K' _0 \- e# e2 K; \
    everyone:读取及运行
    4 B! P& N" g5 _4 ~: n
    : z" g/ v4 P3 V+ I, h6 ]+ F; z3 I列出文件目录2 O" L7 L, A% o- ^* i: ^1 t
    9 i3 J  V0 k: |. {
    读取
    ; ~# D5 m# X" ]2 u
    2 H5 {- Q; {" }' ^(允许将来自父系的可继承性权限传播给对象)+ O1 r& }' t9 d& G% b) D6 x3 ]
    , y! B; H9 L2 f- }6 R/ _  \( A
    h.\winnt\temp:(允许访问数据库并显示在asp页面上)
    / X. u* n! e; a" r3 ^: H* J1 I& b5 k) D& f7 r+ v
    everyone:修改
    ; Q" B4 ^1 l! k7 v. G: t  _6 v' {0 e4 J0 y; K. z5 O
    (允许将来自父系的可继承性权限传播给对象)
    6 w1 m1 c& J- v0 r. ~2 ~6 b$ \- B' ?. m0 P
    10.如何隐藏iis版本?
    ) u6 x/ Z2 I+ Y" A+ Z- x2 N0 j# J
    7 B: o  R9 C* {% W一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
    6 i- `/ g9 n2 _8 b& O7 l
    ( L$ m4 p" I5 Y& \5 c3 e0 ?, t2 miis存放IIS BANNER的所对应的dll文件如下:
    : X/ [) I% m3 N" b+ [8 R2 T6 `: ?& g3 ^
    WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL5 X6 C# M+ y" q# a
    " w' y$ q* D& c" @: z
    FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL7 V& W- x0 L4 t' [
    * ]9 b8 j* T8 `  v
    SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
    4 w' b, b/ d8 N7 O% s
      g' E& k* W  V- c你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0& d. h/ s8 E9 ~6 [: @8 \

    . m1 l: S* v+ m" R" X$ L具体过程如下:4 a9 e- a/ g9 K
    / C" b3 m, [# s) r1 C; S
    1.停掉iis iisreset /stop0 M! d8 I7 I5 P( Z" V+ ]7 o

    ' ~% Z) b) t- u8 y9 o; m' a2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
    常上飞翔,梦想飞扬!经贸是我家,建设靠大家~ 人们都说:不在大学论坛里灌过水的大学都像是没读过大学~
    您需要登录后才可以回帖 登录 | 免费注册

    本版积分规则

    QQ|版主考核中心|『经贸在线』 ( 桂ICP备15001539号-2  

    GMT+8, 2025-8-28 02:12

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表