广西经贸职业技术学院论坛

标题: [建站技术]网站服务器IIS常见问题完全解析 [打印本页]
作者: 月中水    时间: 2009-10-16 01:35
标题: [建站技术]网站服务器IIS常见问题完全解析
1.如何让asp脚本以system权限运行?# _- h: f9 c0 ~& n% o1 e5 q

! e. T$ i. G" l( K6 w5 ~7 ~0 A修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
$ }* \# |! P* H' R: l( ]$ a0 X0 h4 T5 F; }7 A" {3 l$ u2 X- c1 ^
2.如何防止asp木马?
8 x  [- G8 d+ K* K; Q; W6 w1 |# j( v4 P9 p7 j0 b
基于FileSystemObject组件的asp木马
4 ]8 q; h5 L' Q- J# o# w( T; A5 W' O8 i1 |2 y8 ~: O
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用- J  ~% D! [+ x, R5 }) @

/ t, L4 ?/ q  ?* p/ d/ X& [3 \regsvr32 scrrun.dll /u /s //删除5 a- Q: Y0 H7 O) R: D
5 g. Y2 q+ Y: A" Y" x0 B& ~
基于shell.application组件的asp木马
1 I3 N3 |" d6 z, W  e: E0 |2 d' D( V" E
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用# g9 [& a! d' j3 x- L
% \% E, j% J9 A
regsvr32 shell32.dll /u /s //删除  m2 R+ F4 y0 U; V
2 e. Y2 Q$ ]5 t& W4 J
3.如何加密asp文件?
5 Y$ A# [, v+ D% D# ^0 m3 K7 Q$ w1 W
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ w+ m2 a4 m& E& W; `; h
. \- z% ~* ?, S* H% `安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, d5 W# u9 e) B7 Q' \3 ]; s
2 I2 v, M5 v: A( p运行screnc - l vbscript source.asp destination.asp
& z# O, Z4 u) q0 O1 M9 B# h9 J9 }; V0 s! o! h) B
生成包含密文ASP脚本的新文件destination.asp8 Z% m- o" r5 B7 e2 U4 k; x
0 ^7 E( A( A2 R3 O% q
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
. X: I- R1 Y* u* f" Y0 Q& a* ~- V0 C) E
但无法加密中文。
4 F+ a5 ?8 K. Y  g. E& v; d  V+ i7 M
! e7 l& \5 j! W( [6 l" o$ x4.如何从IISLockdown中提取urlscan?6 O/ c7 \% E* o: d/ b

% y. G5 E& ~6 f1 i: `4 d/ U" v8 Xiislockd.exe /q /c /t:c:\urlscan; z8 z. X, L2 S  [6 A- k

5 D5 X" P$ G0 c( Z2 Q+ H$ b5.如何防止Content-Location标头暴露了web服务器的内部IP地址?6 V& Q" j1 u: B  y* o
, e. [8 J, X# x7 E) m
执行
0 P1 U+ ]1 j) O. {, {7 T+ j+ I! `, d. Z
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
/ B4 A0 H% I6 \& h/ ?$ [
/ N; K. X5 E' _最后需要重新启动iis
  J! |4 b! w3 o$ e4 O1 h; @. [9 O, R: z- B' o& d* |9 G. p7 k
6.如何解决HTTP500内部错误?
" `6 C4 x( B  ?5 @. G6 v9 R- w) ]! X7 r: {' Z3 E/ N+ {3 E
iis http500内部错误大部分原因. b1 `: v0 V9 b( b$ x
2 e' w" {* i, S, u4 N/ S
主要是由于iwam账号的密码不同步造成的。
0 c" L$ e$ Y! s6 E. B
: C- i/ y! D% U8 F+ N我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
( |8 W% N, ^5 n+ o1 o8 D
: l* |2 A9 K; N1 Q' c7 N# P* A: N  K执行
; Y# t& A' B; W" u$ v2 ]! e+ M4 }! U/ h7 c4 j1 M
cscript c:\inetpub\adminscripts\synciwam.vbs -v( ^2 [3 [4 q: I/ x; O
, @: z/ t0 v; a! W% \
7.如何增强iis防御SYN Flood的能力?
* i! ?/ F# d: l3 t; U* p0 U7 e5 N# {  R/ J3 x9 H
Windows Registry Editor Version 5.00
6 u5 b4 p. ]; e. F& U
5 H2 b4 u, `4 ]+ ][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
/ W+ }0 I* ^) V3 w8 ]' _3 c
8 a6 @2 I. n$ D# L" \: r1 p/ j'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
7 U5 i5 E2 U) N1 }: O# ?' p& E4 ~1 ?# G$ C$ u8 _  S; V& K& z
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值2 ]- b% _5 ^) m, q

( d4 Q6 a8 n$ s' [# s  s'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
! L% m2 C2 x& ~2 P9 ]( X  `* j8 B: {
"SynAttackProtect"=dword:00000002, `- I' }9 s' P' B. I- N5 s: z. N
2 n7 z9 q0 b2 z
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
7 X2 i3 l! ~) x1 W4 V1 {4 u' [4 Q& ?) V' a! j7 [6 d5 u
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# b: }. d8 T( t* U) {% _9 f
/ I( H# o+ b( i+ y"TcpMaxHalfOpen"=dword:00000064% v( A* \- ]" P/ p

% A1 E: Y1 T$ K  M+ o'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。. r0 b) E, [7 v6 q
& @& w2 O, S3 F5 p; b. J. Y' T) m
"TcpMaxHalfOpenRetried"=dword:00000050% o; f4 ?, I# z9 T5 Y  M

/ _# R# _* I' B8 O- P'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
% `2 r. N$ T' o& N
6 z( x4 Z7 O0 r6 f0 \( g( b'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
  X+ F3 Q8 ?( b1 `' _2 d
; K8 |( S& b0 \% S8 x( }; Z- U'微软站点安全推荐为2。0 r. v! S6 z" S, F) I; n2 j
) S1 }1 p7 W- V/ I5 s  A
"TcpMaxConnectResponseRetransmissions"=dword:00000001. k4 ]. c0 Y  V1 `* E" B
/ M2 s! o( F: m) r4 k# d
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。- v) T% p' d  S/ ?1 Y
  `( Y& K( n$ C8 ~# q$ [* s' A1 ?' A
"TcpMaxDataRetransmissions"=dword:00000003  L7 H8 t' S$ m

' I" L/ ]/ o$ Q/ o# a'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
- J9 u; I# g+ i4 S5 T( F: N& B4 c
& R) j8 q" K7 W& C7 S"TCPMaxPortsExhausted"=dword:00000005
- V3 M) h9 E* n5 Z0 G" k) p2 `1 G& j1 J
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
: Z2 w- T  j, H% u  m2 Q3 i
3 V( F3 H) R( x! `9 e6 f9 R'源路由包,微软站点安全推荐为2。/ C% v# l+ s$ ]; O8 w

% d6 r! P: l5 t"DisableIPSourceRouting"=dword:0000002
: H, g4 ]- P2 x5 r+ P7 ^
# Z1 u0 E: T6 m. v'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。2 ?' P% T6 z0 k& t6 H
9 W" i5 G: o8 s! c1 B$ G
"TcpTimedWaitDelay"=dword:0000001e
7 K* T9 i( x" c$ m/ u! o; u8 b( `& }8 R& [6 d8 p& y
8.如何避免*mdb文件被下载?
% Y( U2 Z9 k( b4 u4 ~. ?
9 [# L5 m2 H; f+ n  c/ L& `安装ms发布的urlscan工具,可以从根本上解决这个问题。
# Y7 u8 J4 S% n% M$ v  n$ |- K# ?/ S( o" W
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
: B, O0 Y/ f4 H$ L( {! p0 L' [1 J' ~' Y8 ?0 @% F( m% f( I6 A. s: ]
9.如何让iis的最小ntfs权限运行?
& v4 Z4 D/ B, s7 u  f9 v/ ~5 i, ^( C5 i+ m/ p! m' p
依次做下面的工作:# f( }0 K! \4 D3 W

/ J$ I% y$ R+ M5 ?9 \% ^a.选取整个硬盘:- w/ ~) C0 d5 n3 M
' S- D$ d( m4 n; b
system:完全控制
* Z! i2 Q! T% `3 Q6 M0 y5 {
7 T. \- ?, _- a2 Zadministrator:完全控制) F. h/ u7 C3 [/ Y" Y3 F

6 y7 y$ |4 }3 s" V( z% I  k(允许将来自父系的可继承性权限传播给对象)
! M2 _% F4 `3 O8 D  l2 {- O; I+ {+ Y2 l! W
b.\program files\common files:
+ |) j- b) T) l7 P! _; u! a4 V2 i' f6 F( T. q
everyone:读取及运行9 x  B1 V3 g# {' d
3 E# l8 a" R1 [" O: ^+ \
列出文件目录  D0 r- Z, S: K
3 h4 ~8 ^2 ?) Y4 S
读取" W. E9 z# P, B, R- D) K0 O0 o& g6 g
) J) _& Z8 s2 f* m8 G$ V1 b  {
(允许将来自父系的可继承性权限传播给对象)
: X- B$ Q$ e' }. Y
/ `4 @0 m6 E5 B& w: [c.\inetpub\wwwroot:# M6 Z4 R# M6 u
" F, c- l$ t' y6 v' g
iusr_machine:读取及运行
6 Q: d. B3 ]6 h' r' ?" G9 X! J4 G/ q* T7 G9 C: s( g
列出文件目录
; G7 A& N, ^( r% p2 s; x/ Y0 O; m$ v
读取
, g( Y& e% u$ t/ M6 T
% [2 b7 A3 _1 J  p1 ?) J' P, g(允许将来自父系的可继承性权限传播给对象)
2 X" ]" [1 j1 O9 z
3 ^0 E) ^+ F$ _+ X' ie.\winnt\system32:
% p1 p' A. g; r' E4 O
! y3 N" q( Q% J1 r, s( M9 o2 U/ W2 C选择除inetsrv和centsrv以外的所有目录,) Z# I: E+ c# A5 s( o
7 o$ t% R( E: \6 t9 _0 n; n
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
) {' O2 _/ r9 m
2 @3 \; S) Z- g: W2 O' @+ w' L# o' of.\winnt:
! U! G! q1 k6 T& M) E6 N- s& b% H" V* F
选择除了downloaded program files、help、iis temporary compressed files、) u- H4 x8 w4 k
, F5 Q, }9 ~- }/ s6 B$ c
offline web pages、system32、tasks、temp、web以外的所有目录
2 V- M6 a% S& b. m2 J( C' x; P2 O3 v# ^) B
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 p* B* x8 m8 H+ E2 @0 s  y
9 n7 ?! h" U+ }8 k  @  `( ?5 Mg.\winnt:" m; K7 |+ x1 {6 n
/ Z! K9 A, ~, O9 y7 B
everyone:读取及运行7 P( e1 N& i9 d) A! G+ |2 {; W0 F
2 S* v" R+ Z4 b: D/ z9 @' N5 ^
列出文件目录6 y- J6 W2 O1 G7 w7 Z

" Q$ m7 B8 u7 p2 }# {5 E. r: g读取. j, Z* d$ t0 S, o; k$ |% h2 W
& W$ X* p9 S3 o. G$ b; A( f+ Z1 V
(允许将来自父系的可继承性权限传播给对象)
% i: w. [. ^: Y! Y) Q/ ]) J9 [6 i
" g! k+ c" F1 U9 F3 Qh.\winnt\temp:(允许访问数据库并显示在asp页面上)1 E6 L  X& `9 m% C
9 b$ `4 W( |7 @
everyone:修改4 h/ c5 @2 \- M+ X
3 D! i9 I7 J: Q9 e1 Q2 H2 O: H
(允许将来自父系的可继承性权限传播给对象)* J* f0 H( o1 z+ J2 l9 n. ^
1 H1 V; k8 ~1 n* ]$ H/ E
10.如何隐藏iis版本?7 c7 p  @) P" ?9 t4 O4 X# \
! p& |# D# \; w  e+ n1 E6 y8 t
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息0 `" i# S& j& v" D, C6 H
; W1 y4 z" x6 F1 A+ y
iis存放IIS BANNER的所对应的dll文件如下:
2 E) g, j% N, ^3 U- M' ~
! ~2 N" x+ E, O: v3 X% [- tWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
: f8 R/ F, O# |# @% T& y0 T1 h5 P' f2 s* L$ u
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL  [5 |/ M. ]- j/ o
9 ^' I) e) @+ W7 D
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
% U( t2 ?6 Q" |/ I+ ~! R9 G
7 E1 |& a. Q% w! x; m! b你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
( m' l* u" ^) c/ d4 C; v6 d; N. h* i) I8 X+ I" U: ^4 {7 ?
具体过程如下:$ H! B5 _+ Z! E' u
, v( f1 \* M' ~. K# f! @% h
1.停掉iis iisreset /stop" f) h) e' n& G7 a
, u: z- B' ?: w* q0 d! F9 k
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件



欢迎光临 广西经贸职业技术学院论坛 (http://www.gxjmbbs.com/) Powered by Discuz! X3.2