设为首页

广西经贸职业技术学院论坛

 忘记密码
 免费注册
查看: 1864|回复: 0
打印 上一主题 下一主题

[建站技术]网站服务器IIS常见问题完全解析

[复制链接]
  • TA的每日心情

    2019-8-18 09:37
  • 签到天数: 2 天

    [LV.1]初来乍到

    跳转到指定楼层
    楼主
    发表于 2009-10-16 01:35:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    1.如何让asp脚本以system权限运行?0 k0 T7 u2 V- n& _  l7 S+ [
    8 i# H" v) M$ N0 E! r6 r8 R
    修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....- t: o" H. Y) g
    5 \1 u2 F) \0 K+ f: }
    2.如何防止asp木马?
    : u1 ?! w% G- g5 \( }5 p  x' J" ]* T3 j1 d6 {% y6 p
    基于FileSystemObject组件的asp木马
    % C/ t8 r  |/ p% E
    ' t5 r! Q+ e4 X4 j% m# p; mcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用* t# ^  g8 v+ Y2 `7 n% M

    , j/ o. P6 j& e; ?4 G" U9 b2 gregsvr32 scrrun.dll /u /s //删除( W$ m8 _3 g& Q5 E: A- A/ E# p. o9 g
    ( B9 {( s  m7 ^
    基于shell.application组件的asp木马
    / P( S$ f4 I8 R" U, ~; v$ Y! H6 {: {7 y
    cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
    & V, V  M% o. B" D1 l& z+ X; W
    2 Z% Z7 ^9 E  ~' p, S% N  g# gregsvr32 shell32.dll /u /s //删除
    3 a7 u+ T0 q( U* G0 x5 M' a  C, h' p' f& j) ^, V! J! @
    3.如何加密asp文件?
    $ b% B: H' C% E1 `# C" n/ |; ~3 g
    : ^/ \9 M$ I0 ^2 H& L从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。/ \4 J& O0 s4 [7 v2 `
    ( o0 W$ p# N0 R
    安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
    9 ?' Z4 ^0 c# I" D" P% N6 B$ u5 ]
    运行screnc - l vbscript source.asp destination.asp
      o5 l' _+ u% E4 D) X# x2 T) S
    * e6 r- K8 p$ l0 k& P3 I& H" W( P6 j: t生成包含密文ASP脚本的新文件destination.asp
    ' _+ z7 f- U8 }- G4 c1 q7 m! \- [- X
    用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了! q( Q) K$ A3 A9 m) V& e. G

    / c/ c/ I, c3 l但无法加密中文。* t9 Q# S( b# a! c( K
    3 V" j& A1 f+ T7 X# M/ \; k% P
    4.如何从IISLockdown中提取urlscan?7 z% m0 L% {: h6 }5 d  f4 z( k$ b
    1 w6 {( B1 K, B  d
    iislockd.exe /q /c /t:c:\urlscan
    % |% |* {' d$ U
    , q1 K+ s' g( q$ W+ w* \# J9 @5.如何防止Content-Location标头暴露了web服务器的内部IP地址?; }& w1 F7 @9 R8 K8 ^
    7 h% w% Q! H& h
    执行# f7 @: }0 g3 L  o2 Q" N
    % {; u. B- ?+ W
    cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True& @4 s( _. C; R( ~# e7 Z" j

    ) F' Y7 R4 s7 M# g+ |+ r2 X最后需要重新启动iis
    * I. Y1 p7 C0 h6 l/ p$ L7 t& F1 H" L, n" i; e: A/ U
    6.如何解决HTTP500内部错误?' x6 q$ Z7 h" @) f# ^& n

    8 a1 x. \0 z+ N0 H/ n( ~iis http500内部错误大部分原因
    " Y+ }) f. S3 v) s6 o( G
    & K- _% S+ G5 ^( T+ D主要是由于iwam账号的密码不同步造成的。
    ! e! S5 ^! O5 e5 D6 z; b
    5 }  p, g0 u* y% w8 q# ^- I我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
    6 c1 G  a) V3 P4 l- l) B$ [0 J" @+ `6 W" O7 W0 I+ e
    执行% O' ], M4 J$ D  s' y9 r# N! B

    3 A; R3 `9 m1 q5 X0 c/ [# |4 Rcscript c:\inetpub\adminscripts\synciwam.vbs -v
    " X! m$ a+ t" g8 P& j: a0 c! ?! y& U; c* `
    7.如何增强iis防御SYN Flood的能力?
    3 w) K* B5 A. L0 H0 J7 |& \, r
    ! `# G, _/ H# V1 X5 |: c6 J3 ]+ |  m9 WWindows Registry Editor Version 5.00
    " ]4 z) U% ^1 t9 G5 C: S# e* z4 ?
    : h8 x! ^  }+ E: V3 I[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]0 b) s, X' f& q# f
    1 z9 W( a- E; U# j: f$ t& D% b! {
    '启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
    6 z8 m6 t  F% A1 X  t0 @: }
    : O% |0 X9 y3 _'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值5 c7 J- L: R% y# s  t

    3 ?3 V3 c3 A- Z7 x9 i$ K'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。9 D1 ^' H5 n: F

    . `. F2 n! O4 t! ^! \* H"SynAttackProtect"=dword:00000002' f* B; e# n& q/ ]4 B) Y
    # L5 y& ^# `4 i
    '同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态* ~- h- t5 ~! v' \: b+ y4 h, O% ]
    $ C/ }& t. O3 x, S
    '的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
    # l0 l( A+ o. K3 F( }
    / K7 b  w  u) Z2 \! M. G"TcpMaxHalfOpen"=dword:00000064% D4 l7 S. r3 p/ R; _

    - w( O- |* B7 Q9 @6 z6 m'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
    4 H7 k$ l$ ^# p5 L
    / w0 E: ~) m# h/ T( \# F"TcpMaxHalfOpenRetried"=dword:00000050
    % j" Y  T, O$ g3 T1 [3 y( I
    ( r8 N$ e% }% Y'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。  Q8 z8 ], R% i$ y! z' [  `
    # P0 H; N( |- T: o8 A$ z% u$ G3 p0 X; N
    '项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。) {5 }- a1 f0 w! j* q1 d
    1 P/ ]- n3 Y& C6 L) ], ?$ w
    '微软站点安全推荐为2。
    $ R' U- M% W  z
      k: f0 N$ f/ @7 \; C"TcpMaxConnectResponseRetransmissions"=dword:00000001, |* D: Q. Q% J  g5 U6 g& m

    9 X1 F+ G& P6 z4 O( o' t% x'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
    + n: B7 P! Y) r0 S( ~! B
    4 Y/ \* r4 g) c6 W"TcpMaxDataRetransmissions"=dword:00000003
    ) q1 u; D: R1 v% d; v; M* i$ j0 u* J+ V$ I  q
    '设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
    6 S8 ?. M' W& N0 i# O+ h, r- y4 O* E* s) t$ V
    "TCPMaxPortsExhausted"=dword:000000056 o! x% Q$ J# X5 K9 o
    1 ~2 v0 A! B* K, @5 K, u9 [9 l8 _
    '禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的! o; @1 s+ v) H& t) ?, W$ m

    8 C# R' h6 b& G  L( o'源路由包,微软站点安全推荐为2。2 j+ \7 r" l: J

    " M, U( I" W2 U( u"DisableIPSourceRouting"=dword:0000002
      d) H: j( {6 O5 w3 A- w& G/ U
    # d! b6 k% x% d' I'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
    4 W, I2 B, Z% {4 w- u
    ; C; k6 N/ U) ?, \& g# O"TcpTimedWaitDelay"=dword:0000001e
    ) l" |" S: ~2 h2 ?9 k9 ~1 \" Q
    ' i+ `* B, c) }8.如何避免*mdb文件被下载?) _7 }4 e1 Z7 D5 g9 _+ K4 |

    , _: `7 f+ ~" w7 o7 i; V" i3 ?安装ms发布的urlscan工具,可以从根本上解决这个问题。
    , n" D2 ~( u) F9 n0 n5 w# y+ f- U% J4 W$ B; i# Q: A' x
    同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
    $ @+ s; a) Q0 T, R6 r3 g4 `# V3 y6 V' ?; w
    9.如何让iis的最小ntfs权限运行?. v0 _, ~6 R! e
    % i; G$ g5 L9 }, p4 n
    依次做下面的工作:3 y5 ~# X+ j5 n7 d( s" B
    $ u: N; q8 o, a1 L, I* l
    a.选取整个硬盘:; I0 |5 t1 G6 K
    ; ~  o9 U- v& K8 R4 ]. J8 U
    system:完全控制
    , S) I5 _( H" f; m( G
    5 Q& p8 ~( E) y( ^; `/ P# z$ wadministrator:完全控制
    , `- ]0 S. I, L3 i4 n0 N* b
      I3 J# G' }& T3 A$ k; _0 j(允许将来自父系的可继承性权限传播给对象)
    9 X: N% ?( @9 l& H* O, j) c6 U' f- B* t
    b.\program files\common files:" c! R; w1 h( N% t* |1 K
    : ~7 q. b( c+ L2 z- V' D# B
    everyone:读取及运行
    9 q9 O' b# I- B1 {% P) y, X' g" O, p
    列出文件目录
    ! k; _) B3 b9 S, v0 `! w- y) b+ Q* Q5 }% [5 ?3 c7 n! }8 z
    读取
    8 L8 {# m/ A9 T' Z0 b5 t$ s  }6 m* x& {4 u0 R5 b6 }% \. }
    (允许将来自父系的可继承性权限传播给对象), {4 |8 x/ O% w* Z4 S, z  P& \
    - G% {  h( ~+ o5 q9 A" H4 y% ~7 r
    c.\inetpub\wwwroot:
    ' k, {7 a# [. j: ?0 |4 i) R3 U* `  I2 k) q8 a0 L* P# A3 A/ `
    iusr_machine:读取及运行. C# L2 W  r5 ?2 |; |7 F

    + |2 ~; V% m$ h3 I3 l; E: r+ D列出文件目录
    4 i% c# t6 h9 i4 l9 L1 H3 Q8 A/ Y+ C
    读取
    / A' S' B( r' V# j, V; V: G( m+ @
    ' y6 p4 |+ ?& l8 D' F(允许将来自父系的可继承性权限传播给对象)2 ~3 o. r6 m* R. P# l' I
    : x9 ?. T0 @0 `4 Q) y
    e.\winnt\system32:
    * E" @* J1 u' r% M% c3 Z( \) G+ s% I
    选择除inetsrv和centsrv以外的所有目录,2 W' G- s  t! g9 p

    " L; l  F. x% Q8 F7 g去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
    4 ^/ C, J& \5 i5 u7 s, E. T# n* J' L' z
    f.\winnt:. [6 p  u) a8 n* z9 B6 {. g
    ( M# I! K. R* N! g
    选择除了downloaded program files、help、iis temporary compressed files、! E# G6 a8 v9 L
    . X7 V. Y7 o( h+ f8 z
    offline web pages、system32、tasks、temp、web以外的所有目录) O/ A1 b+ v; ]4 j

    " K% t1 j9 J% w0 N去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
    7 F3 V8 M2 B" ?9 ]* k& ~8 p5 U8 R; [8 @( X6 d0 a
    g.\winnt:
    - D& r9 k& x) O+ ^1 }
    3 M. D" m' n6 {1 l' {: R. l; severyone:读取及运行
    5 s4 J# ~  u) N. R+ S# V+ g5 [7 S/ k0 v5 s
    列出文件目录
    8 c4 O7 n  u: D, U' p
    ; e1 p% Q4 [1 G9 {, J! k$ m4 j读取
    . j* ?6 s/ Z% M, h& q
    - j& Z2 s' W: I6 P(允许将来自父系的可继承性权限传播给对象)2 @1 j6 R9 s( d/ r# H; S
    & T5 F, ^- X" R/ V4 `
    h.\winnt\temp:(允许访问数据库并显示在asp页面上)' _% J" R, [& k) _. _

      u8 V, s3 j2 zeveryone:修改
    1 H" G' A. ~- F' K9 }
    9 m! k& d! [6 N2 K# q(允许将来自父系的可继承性权限传播给对象)
    + e6 ~: S  m. k9 u, Z5 c* H) f2 e) z+ N$ z7 `! \; F
    10.如何隐藏iis版本?
    / f) D. }0 H: N1 k8 z/ _! u
    4 y& }% [# R8 `一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息1 U% c6 r9 B* W: c

    - l. W, @+ D! n4 t, k3 Miis存放IIS BANNER的所对应的dll文件如下:
    ( b# R* D% M& W# S- X3 _& T) W  y# A, n! @. f- r
    WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
    . M+ U' ?$ `6 w/ f8 c! z4 n# y' A2 l
    FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL6 R+ Z& B6 L2 c9 X, T1 z. r: W
    4 |' [4 q1 B* h; Y
    SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
    ) v! W* d5 L+ ]- o$ `5 K& \! t# K9 U( g( M
    你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
    + |2 m* K: r) W6 Y% y5 y* G$ p9 q- W# X& f
    具体过程如下:
    + c- N+ t1 U1 G1 Z! P; e! D5 v  x/ M) D' r
    1.停掉iis iisreset /stop/ C* [# }/ |" [+ K

    " n" {2 M8 M0 X, A( e8 Y! E1 `2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
    常上飞翔,梦想飞扬!经贸是我家,建设靠大家~ 人们都说:不在大学论坛里灌过水的大学都像是没读过大学~
    您需要登录后才可以回帖 登录 | 免费注册

    本版积分规则

    QQ|版主考核中心|『经贸在线』 ( 桂ICP备15001539号-2  

    GMT+8, 2025-4-10 22:08

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表