[建站技术]网站服务器IIS常见问题完全解析

月中水

1.如何让asp脚本以system权限运行?
/ L5 K" c8 Z5 u4 l% @9 f
3 k) V8 [: s1 g0 p! N' Z7 ~$ }修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
+ t7 t0 j. k* E8 j
2.如何防止asp木马?

基于FileSystemObject组件的asp木马
$ O/ ]1 }# @" O9 S1 ?
2 {4 x% [+ }- u3 F" Pcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
  n( s. ^4 b0 r" s4 v$ W% [) V3 `- P
2 `0 z, g6 X; a$ Y/ Jregsvr32 scrrun.dll /u /s //删除
/ |' c) c# E! ]! c- v
8 R* I' j; a, k: z7 M, P$ v基于shell.application组件的asp木马

/ M. ^8 T' {3 a2 N% {0 N# ncacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
" y# l* E" x& I( N8 D$ I/ V! ?! L
6 ]) z6 E, t0 n& _$ Uregsvr32 shell32.dll /u /s //删除
  S6 T0 g3 H0 \' |9 X
3.如何加密asp文件?

从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
+ w3 o5 @6 j- v! C! j& }2 U
安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

2 H/ ~3 T, B2 P  z: G运行screnc - l vbscript source.asp destination.asp
% o7 M+ p7 j& O5 ^6 T
生成包含密文ASP脚本的新文件destination.asp
+ t! K2 a7 l2 s" N% f
用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

但无法加密中文。

6 I. I% W& w  J4 a* W4.如何从IISLockdown中提取urlscan?
. W; d* \2 R( i& P, ^$ P- p3 G* ~
" V+ ^* b; H, tiislockd.exe /q /c /t:c:\urlscan
& b6 j) i0 J. K7 s+ A$ L1 m- q
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
9 r, M% J* y9 ?0 x$ H
执行
1 b' }, p) n$ ^4 r+ l1 p( y4 l9 {
# o- A% m8 p! Q$ `& Dcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
7 O1 Q9 w5 Z, W
最后需要重新启动iis

) Y6 z. H& @- u& C6.如何解决HTTP500内部错误?
- e# C" Z& ?' ~$ G3 `# k9 i6 q
" p  z0 n/ _5 Fiis http500内部错误大部分原因

主要是由于iwam账号的密码不同步造成的。
$ ~1 t2 ]1 w3 ^- c& c
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

执行

6 n$ D) |5 ^: {0 G) \% Gcscript c:\inetpub\adminscripts\synciwam.vbs -v
' B3 k! B5 B9 n1 c/ Q
7.如何增强iis防御SYN Flood的能力?
6 r' R  P0 m; i0 A! p: d3 G
3 Z# i" @% I5 x$ y1 ~" n0 VWindows Registry Editor Version 5.00
$ W0 G. k: x3 u( V+ s' a5 j
, [4 T- k, X, A) Z8 g) l( ^+ ^9 @3 S[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
" u& X. m- x( d! A+ g& j) b/ h
5 C- h6 @, _3 f! I9 m6 {: I' K'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# n) [5 q$ u) x
'设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

3 i+ F, q' j+ {3 r1 ~" n3 B"SynAttackProtect"=dword:00000002

'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

"TcpMaxHalfOpen"=dword:00000064
2 K3 L2 P& G$ q1 Q$ _' J  P7 ^
" B8 z% k, S  `'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
' p+ v7 z( n/ h+ \
. @+ d  g- {! x2 V# e- d# m"TcpMaxHalfOpenRetried"=dword:00000050
8 [6 X! [: Q% c# F  x
, K+ G6 M) O+ ^/ r, c; j9 K2 O'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

- g8 m$ X+ m* H$ F'微软站点安全推荐为2。
, ^) ]4 ^+ o8 [3 r
"TcpMaxConnectResponseRetransmissions"=dword:00000001

. J5 U$ R- m3 s4 {0 i7 u'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003

'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005

'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

'源路由包，微软站点安全推荐为2。
& a. V! d8 d7 \9 |6 y6 f
' I' B6 I# ^- |, P/ v! s/ x. P"DisableIPSourceRouting"=dword:0000002
! e0 E- w& p' v  {$ \; e2 Z
) N# W5 O8 G/ o'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
' y: x9 K0 k7 Z6 Y, F
"TcpTimedWaitDelay"=dword:0000001e

8.如何避免*mdb文件被下载?

! d$ X; z, b; {; p# ?% M8 H1 |6 C安装ms发布的urlscan工具，可以从根本上解决这个问题。
. V" _& }" _, S/ b
同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

& p; a3 v, M# ^: T. _4 p, J, A9.如何让iis的最小ntfs权限运行?
" r2 V  B7 K, B0 o1 U
  J: `* y7 ^" n. B) F7 r依次做下面的工作:

a.选取整个硬盘：
* G1 C, ]$ ~" ]5 I1 }  I7 r1 z- e
& x) @" B+ U3 V7 ~system：完全控制
, \+ h) }$ v$ m& ~  T1 F. `! A& C2 g
administrator：完全控制
6 e+ B$ m8 T4 n+ u* G
; ^  l: g8 B; V+ i- u+ ~(允许将来自父系的可继承性权限传播给对象)
1 q- H3 K1 H4 t( t
$ t8 N$ g7 w4 l* Ob.\program files\common files：
7 ?2 V3 s* M  o
, Y+ o* u5 H4 A+ J  A: b3 S; m- keveryone：读取及运行
! ?& v3 {3 i' a9 Q: Z% W
6 t/ {. w, d# Y+ p+ T# y  t列出文件目录

读取
' R  i6 G3 I/ u5 Y+ i6 g2 F
- j( D7 W/ ^1 O/ }- }; C(允许将来自父系的可继承性权限传播给对象)

c.\inetpub\wwwroot：

' {: ]6 ~/ h9 Y0 W. h* v; ^iusr_machine：读取及运行

列出文件目录

读取
* h( f5 j! t+ A% ^1 e; ~! `
(允许将来自父系的可继承性权限传播给对象)

2 h4 m5 Q; J5 v# x( ]% ]e.\winnt\system32：

选择除inetsrv和centsrv以外的所有目录，

) L# B0 c# t" Q7 u) ?) S去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
1 T1 X! E" S* v8 p
* X8 a% n; h- l# V- q1 u$ zf.\winnt：
) }3 V, S- a( E0 u+ {
: G0 G' X! o) C$ P% A# h选择除了downloaded program files、help、iis temporary compressed files、
% @( ~3 ^- U% Z0 v) Z4 R# q: H
offline web pages、system32、tasks、temp、web以外的所有目录
$ _9 f" B: m- c# R
2 J1 q+ |* ]: f" j+ r去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

g.\winnt：

0 s& Y  |% n# e/ _9 H% i  Ceveryone：读取及运行
7 Z9 g7 F1 g  x
9 j% j  V) o  `) v) u列出文件目录

3 }& C! k8 A8 e& G  L7 M6 w* v读取
; w7 u+ X3 w- b! M
(允许将来自父系的可继承性权限传播给对象)
+ e5 s! q; d( L" p! |
4 z  F/ @5 `4 t% T2 O! M, G( wh.\winnt\temp：（允许访问数据库并显示在asp页面上）
: l: m$ O. L0 d. T* V8 P
everyone：修改

(允许将来自父系的可继承性权限传播给对象)

10.如何隐藏iis版本?

一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息
/ @8 e. a* N& j* a4 K
iis存放IIS BANNER的所对应的dll文件如下：

WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
3 g4 p  R+ j& q$ k. K
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

) q. H2 h+ p5 {1 `. l0 aSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
5 R, h" k9 f9 H; C# q4 n
你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

具体过程如下:
' K6 }7 N' l6 P  B/ I! q
8 V7 p; x% Y' z/ E) n, q1.停掉iis iisreset /stop

. Q9 H$ Z, r4 Z/ l) d4 }2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件