[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?
1 a9 m) ?1 L: Z( P- n) V
修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....

- \5 q, d" g7 Z" t2 V- R2.如何防止asp木马?
( A% g6 W+ w' `( M- x
基于FileSystemObject组件的asp木马

2 X4 f8 ?8 t2 n3 s9 g1 Jcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

# ]2 q$ l+ t" Bregsvr32 scrrun.dll /u /s //删除

2 g# E) g' ?+ m: i# m: J基于shell.application组件的asp木马

; r0 h9 \4 O2 A& J! d% U5 d3 Wcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

regsvr32 shell32.dll /u /s //删除

3.如何加密asp文件?
$ E$ H- d, l) v0 R; \+ H) P- A
7 E  @; r6 `* W从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

. K7 |) @+ T! c安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

运行screnc - l vbscript source.asp destination.asp

: H. }3 q; x; S; n5 @' @6 R生成包含密文ASP脚本的新文件destination.asp

用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

但无法加密中文。

4.如何从IISLockdown中提取urlscan?

/ v! d* o0 Q. |( ]: T4 U. `! ~( |iislockd.exe /q /c /t:c:\urlscan
& C8 x3 L, v; B. ]4 Z9 S
4 ^1 f6 l0 O! h9 n9 y5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
$ I, l5 q" H7 x! C
执行
  ?/ }3 q- g% Z0 ]" h4 O
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
! ~9 X6 X) {2 m) h# }
最后需要重新启动iis
! ]" m  X9 B5 r7 P- i; ^5 d* z
* B& M' G, ~; Q& o6.如何解决HTTP500内部错误?

iis http500内部错误大部分原因

主要是由于iwam账号的密码不同步造成的。

5 c: c* v. r* N3 T" Q) E我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
  P% `9 W' G: b, T! W' D- R
执行

8 x7 s) \# F6 P+ ucscript c:\inetpub\adminscripts\synciwam.vbs -v

8 ~* A) G0 Z* w" a1 c7.如何增强iis防御SYN Flood的能力?
9 n0 i$ h: e" b! q! z+ `  [' w
3 r+ l5 U. t' U/ O0 e& sWindows Registry Editor Version 5.00

* |1 x' i& ^( Y9 }8 Z- i! Z[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

; @9 A4 Y& `2 z0 d'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
3 C, o* }6 ~# m2 V, [. m/ O
. {. ^6 B5 q8 x! I' X6 C. e# s'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# `% |+ _) C$ M- G, C1 _3 i4 [
! v- M+ g/ e6 {. ^2 `( g, L3 j'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

  D. A" `& Q- v3 t" u, [( r2 Z"SynAttackProtect"=dword:00000002
4 m4 A3 x% Z4 u4 d) L7 }
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

"TcpMaxHalfOpen"=dword:00000064

'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
) X2 R. m. o1 g5 c; V. K
"TcpMaxHalfOpenRetried"=dword:00000050

, g; Q  @- M6 ], F'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
0 I- U, U' ~5 F7 Q
'微软站点安全推荐为2。

. a4 {' n& o+ }; v"TcpMaxConnectResponseRetransmissions"=dword:00000001
% P( j1 A7 ^/ W
'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003

'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

5 Q0 W. G2 b) v% S: Y+ f"TCPMaxPortsExhausted"=dword:00000005

'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
$ A7 p9 J6 m- ~% M0 x
2 k# V3 V5 X7 u* ^2 B'源路由包，微软站点安全推荐为2。
) g+ V( P( B; S. [9 O* I
2 O7 q/ \% @2 f& i2 T"DisableIPSourceRouting"=dword:0000002
1 s0 ~# x- M- G+ m
) x3 G, ~  ~5 x: @1 X* ]( W'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

"TcpTimedWaitDelay"=dword:0000001e

+ |: z3 A7 f* x+ c; C4 r$ j8.如何避免*mdb文件被下载?
4 f& w# m  _5 ^
安装ms发布的urlscan工具，可以从根本上解决这个问题。
& X- L+ v( y( a2 s# P
同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

9.如何让iis的最小ntfs权限运行?
" h: G, z" ?) P& P1 W7 q* t
$ p2 [( T. ~; b# M/ n$ u. \; K依次做下面的工作:
) _, {" r- t9 N- R; s0 H
a.选取整个硬盘：
  C" l  z+ K& K8 o  l  j* [5 D1 o
9 P3 y: p. K3 B0 \system：完全控制
1 i- J& T; v& w" f7 a) J
4 g% @, g  M& ~- |7 y' uadministrator：完全控制
7 Z+ r: F, x, l/ H; }# E- R
$ o8 q9 W3 z! C) S4 f(允许将来自父系的可继承性权限传播给对象)

b.\program files\common files：
& N& W2 C9 k# @/ f* g* X
  h& v' g) A; Q1 b0 ~+ Beveryone：读取及运行

$ |7 ]4 K$ K: t' t* S! k: X% W列出文件目录

8 g& M7 Y( ^5 _3 c7 ~  G  D读取

/ S* A2 R) o8 i  h  m( }2 G(允许将来自父系的可继承性权限传播给对象)
4 C. i! X# d! @4 Q- P, _, d3 b* J
c.\inetpub\wwwroot：
4 y; [4 ]3 J( d7 j: r
9 Z/ l8 M/ b9 k8 {+ O7 r* ^iusr_machine：读取及运行

列出文件目录
! W! V, ^3 [% G7 ~! J
' @3 @" y7 W6 W5 e. P9 B+ |9 U读取

5 @) n! {5 C( X" ^0 I7 p(允许将来自父系的可继承性权限传播给对象)
: L6 ^4 x  g6 h. p6 ?
: D9 O8 ]+ J; H- ie.\winnt\system32：
! O8 U" b2 s& {) _" Y
选择除inetsrv和centsrv以外的所有目录，
% {* C, f9 E* o4 i$ v9 s
, }" D+ Z1 l! x' O$ z去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

f.\winnt：

选择除了downloaded program files、help、iis temporary compressed files、
% n7 w! j2 \3 D- g0 D
offline web pages、system32、tasks、temp、web以外的所有目录

去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
7 L# o+ D& w& P+ h* ~9 s6 E
. p4 A4 l% h( H$ Sg.\winnt：

everyone：读取及运行
* I* a- l3 ^8 v& K; S/ C
列出文件目录
: ?. o. O1 T: ~; i4 b
* U2 _% {6 G1 P% Y# s7 V: I读取
' m5 F3 k( L8 F/ s
(允许将来自父系的可继承性权限传播给对象)
, z7 V7 ~3 c- K5 M+ A4 N; {+ x5 `
h.\winnt\temp：（允许访问数据库并显示在asp页面上）
7 F% ~; {% E0 C
everyone：修改

(允许将来自父系的可继承性权限传播给对象)

10.如何隐藏iis版本?
! I% `1 B! j- B# n' i0 J& r
/ q. b: i% O' X$ f2 _一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

! K/ u9 J8 X. Hiis存放IIS BANNER的所对应的dll文件如下：

WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
( J: o- Q6 `5 r" {: U
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0
+ q7 [4 R$ H% F  `0 P2 u
0 V2 H4 D) K6 H  `; V3 Y" O( E具体过程如下:
; k0 J8 G1 I6 E/ u2 x3 ?) o* Y
3 z& y, X1 V% z) [! m1.停掉iis iisreset /stop
& o# l$ l; }" P: W: ^: }: [) X
/ Q& x" {) m" i5 R& }% f. M4 r% x2 _2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件