飞翔无限fxwx.com广西经贸职业技术学院论坛
标题:
[建站技术]网站服务器IIS常见问题完全解析
[打印本页]
作者:
月中水
时间:
2009-10-16 01:35
标题:
[建站技术]网站服务器IIS常见问题完全解析
1.如何让asp脚本以system权限运行?
& {3 h" L- M' p' m
( S# F( L: w( g! |, `+ b' O
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
7 @& E8 Z7 a; L8 ]
% L3 {2 H" P0 [( B4 }
2.如何防止asp木马?
8 g5 Q5 W! Y: x
8 B% e3 M1 e j1 y$ @; O+ R
基于FileSystemObject组件的asp木马
L7 ^# S) T W* n$ o- w( P0 @4 ]
! [& t( E4 [1 v4 z0 U
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
# L/ B5 a. i1 Y" u. W# M3 r# k
. Y% O0 `0 z9 b T- ]2 r8 ^& b
regsvr32 scrrun.dll /u /s //删除
; `* M5 S9 L( g2 g8 c" O U
' v2 _) i) F- L6 a1 q
基于shell.application组件的asp木马
+ h \7 J6 o5 ]: [3 z5 [* M
6 z5 @+ A* ?) A& W7 a( n% x
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
1 Q$ `0 f/ B4 ~- \
\2 m/ k" J9 p
regsvr32 shell32.dll /u /s //删除
; Q8 ^+ L* c. C$ f3 O
% ^9 |2 b5 P! s9 P* |- J x g4 ?; U& D
3.如何加密asp文件?
8 z7 q' q% I3 h; ^3 E0 |; M3 u
4 m% p% D8 G# |, j) N
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
; r% `; Q% g: W3 m9 h$ M
9 q1 S" b5 {) L0 Q1 S6 ~) D6 e
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
8 B5 [- _1 \( B- z
. ]$ D8 h: E2 O; v" R: h& O
运行screnc - l vbscript source.asp destination.asp
9 [2 u# {9 h5 Z j, L. _" w
/ E; A- [* k$ ?. h2 _& E n7 O
生成包含密文ASP脚本的新文件destination.asp
0 H* z: d+ |. E4 \1 ^
; z$ R) M/ x) a. o' a5 o
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( l5 }2 C9 E; ?) c$ n
& G y' Q! }( k9 X! o
但无法加密中文。
+ D4 u% [& f9 M1 H
5 D& u" `$ D2 ?5 h! y. j
4.如何从IISLockdown中提取urlscan?
7 O! Z* x+ }8 f# t
, n! A' y0 F o$ s
iislockd.exe /q /c /t:c:\urlscan
p& _% |0 ]* Z% X% U5 Y% f! s
V6 ~7 T' B: _; F( I$ ?
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
! x, i+ V2 v; H/ L# s; _
" \) Q& c& v( G/ }
执行
; ]2 }. `; W$ V) N: \
* V; h# b$ z9 a. X0 }1 ]
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' _" u" p0 {# j5 _1 ^
/ f8 U' w# W; O: N: B" z O$ T/ k
最后需要重新启动iis
9 p8 D3 t1 E$ A; Y( [6 b; [" C
' d& y n- W( J' b# k" R
6.如何解决HTTP500内部错误?
) ~% x' f, e T! _7 r) w( c- F, Y
% m. f/ b6 d7 U9 T. }1 W
iis http500内部错误大部分原因
% ^( D+ u1 P, a" j# o) [
/ {9 _6 l* g2 t3 t; D3 Y
主要是由于iwam账号的密码不同步造成的。
9 h' f" O4 H& I9 j8 X; @* S" g
/ p9 n$ R+ W& w4 Q6 m% F
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
6 J9 e3 N) S" {2 F
3 ]1 u: M6 a0 u9 g
执行
. V! i- a0 |7 H; K. G- e- o& R8 P
% T6 i/ {( ?3 R: y
cscript c:\inetpub\adminscripts\synciwam.vbs -v
8 ~( {; X9 x+ z k" B- V6 S
g$ L/ A( K5 T+ N7 e5 g) i
7.如何增强iis防御SYN Flood的能力?
( G( @. I, T2 @/ z% r- g
7 [7 ?+ |1 e. e. P1 Z" S3 M6 v
Windows Registry Editor Version 5.00
* c( I1 c6 |+ \' Z9 b
, u' t' Q) G1 b+ M$ S0 C% q# t
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
; h) Q; Z, c8 m$ n3 i
" c) r3 {/ C. `. I2 Y/ }3 U8 o
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
& }+ i U. S* r# D. Z
" a# b* z L. o1 m1 J y
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
( j- f+ Z9 g3 L5 L9 L/ `" M( i" B! }
# _' V2 S7 ^. J+ W
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
8 {% `6 {8 s8 ^5 w
]* g9 X& e8 X @4 l+ Q5 v5 j1 l; Q
"SynAttackProtect"=dword:00000002
$ g, i' h. v) p
2 W: ]. m3 _1 s( f( j
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
* R4 B6 X* B3 k% d% x
6 o2 Q3 W* c* B" H
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- P& Y5 F4 {( {" Q$ i
! X* [1 Y# t& N. B
"TcpMaxHalfOpen"=dword:00000064
2 a+ D* ^9 I' i- F! p6 C, c) v
7 Y1 o( m `1 d( w% Z' i+ x3 C
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
( O$ ~* ~2 O8 w- }/ u
7 O: v* m8 V6 Y. A, e
"TcpMaxHalfOpenRetried"=dword:00000050
4 `+ {9 M8 B3 @5 [3 C! @7 G; f( l
" H- M6 F" a+ Q5 Q4 t3 B
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( \% I/ q, a) n0 b# A) r0 c
# w0 r0 [# F# n. e; C0 W
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! e2 r: d2 i R1 k6 u( p) m u
7 ^, C8 O3 i, z
'微软站点安全推荐为2。
6 A4 G1 b/ |9 b3 X0 j( g
. e/ p0 s6 N. K. A" x( T' u) T
"TcpMaxConnectResponseRetransmissions"=dword:00000001
# S7 W) g/ G" d0 H; F# L
; S: n( x8 G3 P% _ f
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
4 L/ k+ S, a0 X! Q V* C# z3 V
4 K. y3 K% \; b- N1 z
"TcpMaxDataRetransmissions"=dword:00000003
) p. S0 t1 x7 m" N& X: r
6 @5 s, z/ t* X/ U
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
& i- c! r! b. n ]; ]. ?& a
9 q; T/ b# v# a0 \' i. f. X
"TCPMaxPortsExhausted"=dword:00000005
& P8 Z5 v. C1 @7 l4 ^+ K5 |
2 p6 I+ H/ u% J; J
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
. H, `1 \ h" n9 E7 K& q
! ]; c, u' b5 G2 J' J2 [
'源路由包,微软站点安全推荐为2。
7 [3 b3 I6 x" M) o
! C5 y9 ^* ]) G! l \
"DisableIPSourceRouting"=dword:0000002
4 \4 w$ t9 n0 I# r, D9 c/ u
) t' g; G7 _* P# u8 j& B
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
3 c0 ~# b/ B+ ]- [% f" s- q5 G
! U' y) n8 u N+ v# F4 f
"TcpTimedWaitDelay"=dword:0000001e
0 F+ x# p' y3 l# T
* F; S$ \1 U9 o+ z1 P6 n- Y
8.如何避免*mdb文件被下载?
9 c0 [7 G" j; f
7 p# b. M' \ \* z% ~+ \- b
安装ms发布的urlscan工具,可以从根本上解决这个问题。
' {: B9 ? k% h t2 k* T, {
! C2 i: k: u2 y) U: {. R% X0 z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
- H8 K. \ o3 T$ b
8 q5 W% D! O; R/ @
9.如何让iis的最小ntfs权限运行?
1 j V' g. }- F% c% N0 r6 T
% Q, u$ x. C" B, [2 h
依次做下面的工作:
3 S' l4 w- T3 j V k1 G
/ `5 X. y! R! r' M! H
a.选取整个硬盘:
8 q' e: C; v( m( v8 m
8 Y4 H* @1 N+ [" T: z$ y
system:完全控制
/ S: c1 B+ W9 o( E: r
% W! Q+ F; [* I0 w% R
administrator:完全控制
1 ^ X- p! l+ Z4 G6 N$ P# r: [
+ v6 B4 d' M0 V5 l
(允许将来自父系的可继承性权限传播给对象)
2 U6 u# \/ y" a2 A: j" f" f
* L( B% L4 S6 `+ z. }& L
b.\program files\common files:
8 I% G* \- X2 }5 p
. D0 n% q9 M: L5 u
everyone:读取及运行
9 P# f* T% f. P' n( V
% k2 f m, `# _" j6 W
列出文件目录
/ V5 b' U4 f$ [/ w; Z
4 s. e0 f2 v- v* p c
读取
% G$ p8 Z3 e0 c; z( r! ~; s
9 J0 j( S0 e. ~$ S7 I
(允许将来自父系的可继承性权限传播给对象)
) |- t% C7 y- f
# V8 D6 R" `6 o! k4 l7 l5 ^: N
c.\inetpub\wwwroot:
* t" O7 r) L- b% _& d
. K$ m9 u, E+ D( K b% {
iusr_machine:读取及运行
, _5 m$ L+ W0 n: C7 @9 I0 p! z$ i
. @! D% n5 T! M8 m8 d, O0 g
列出文件目录
8 F: H& |, n2 S/ e. C' |
# \. W( k$ L7 N& I3 ]
读取
1 l) O. y7 J: Q$ h- h; U! B
H; u$ M/ B' L; c7 J( A* q
(允许将来自父系的可继承性权限传播给对象)
* j5 T$ o! Q% l
; Z. _0 E6 [: o3 `
e.\winnt\system32:
) M/ I T! r+ v# z8 Q7 S
- ~3 w) p, k" q: _2 R _* N
选择除inetsrv和centsrv以外的所有目录,
1 {% X. D% c" m3 i4 B
/ g6 p5 {1 q7 ]* s7 H" m. V5 m7 }
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& d; _' D! ?1 y& v$ T( b8 c* c! [6 ?
- d* e8 u. L7 b5 V# E
f.\winnt:
# O. T+ R) w1 e9 i- @
c9 B( N/ e% |) L7 P7 [8 l/ c
选择除了downloaded program files、help、iis temporary compressed files、
3 ~9 i5 D0 |7 @1 P$ t3 J0 D! F
( `# D6 G5 [; o; h
offline web pages、system32、tasks、temp、web以外的所有目录
, g6 \5 n$ Y. W6 @* C
& {0 [. v* S# \! L0 o4 ]' @
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% R; p# _. \1 x5 v
5 G2 S) S6 N; k- e; j
g.\winnt:
) T2 h" V8 h/ y( g) D) a% |; a
5 P3 M H' ]4 }! @- z, q5 q u
everyone:读取及运行
% x1 n9 |- @' [! q/ r
, q: H, j- n4 H2 F2 I
列出文件目录
# q: \ ^: B k5 `0 f1 \3 \" h' ^2 B6 K
; b, U+ F H/ p' c1 W( ~
读取
6 J% a) a9 } e$ k5 B
, \# j' t$ @ U- p# e2 ]: K
(允许将来自父系的可继承性权限传播给对象)
' g7 @$ L4 A' G" D# t, Z! t' U# {! |, g
/ T1 u# x" n$ L
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
2 z5 r4 O; @! Y9 x: E4 u$ q5 S& X
( Q* f4 L$ p5 z( M# k7 S
everyone:修改
) N2 u- n9 ~1 v; m% X0 [" n
, X+ v" f; X8 b2 s
(允许将来自父系的可继承性权限传播给对象)
+ m1 ^ c4 w4 s4 Q& ?4 y" L8 x
1 d9 @$ ^$ d# d% x
10.如何隐藏iis版本?
6 n2 Q! `6 G7 S! r/ Y5 Y
! t( E2 F D3 i
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 c0 i( P' g/ e) }+ \: J
9 J- e H6 C C! P G' e' l8 v
iis存放IIS BANNER的所对应的dll文件如下:
- |) o4 D* T: c d# J
/ ^! ^6 U( n$ c9 q- q, x
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
: C3 o( A7 X3 f/ h) O" D
7 k& j: X! t* U3 |- c
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
% r( q7 Q2 W, p$ Z* p( l9 c
; @) t7 K' S5 Z8 P5 r; ^+ s
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
, e7 l; p$ ]' _/ ]' A* R
$ K) a* `4 y9 c9 B; I$ G
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
2 }1 p6 ~- G4 r6 o- w/ B
1 A' Y. y4 l* C
具体过程如下:
9 A- C% L/ `7 I1 h( k6 G6 p
7 n5 E# P+ _3 r( i* y4 c
1.停掉iis iisreset /stop
2 L( }$ f! D+ P0 i8 f
9 A c7 [ t/ L* \! X
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
欢迎光临 飞翔无限fxwx.com广西经贸职业技术学院论坛 (http://www.gxjmbbs.com/)
Powered by Discuz! X3.2