windows2003 Web服务器 IIS防范入侵常见问答

huanqiu

1.如何让asp脚本以system权限运行?
- P3 N% \' }' N! L
修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....
1 ]2 K( N4 `4 S8 M! I
2.如何防止asp木马?
7 w% Q' L! p5 z% C- b- J7 w% t
+ G' _8 Q# p* N3 X- b* x  {基于FileSystemObject组件的asp木马
7 U' H: U# ~8 E4 I
- Y$ k9 c* R- S) r! Z9 ucacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

regsvr32 scrrun.dll /u /s //删除
3 |8 q8 q" Q$ h1 S3 ^
基于shell.application组件的asp木马

$ y# T5 P" V; b$ s8 O  @cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

& S* ^# _, R7 @% iregsvr32 shell32.dll /u /s //删除

3.如何加密asp文件?

从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。
. D. H: F1 r9 l8 P" {
) \1 t- K; |& A# [运行screnc - l vbscript source.asp destination.asp

生成包含密文ASP脚本的新文件destination.asp

用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了
2 s9 q) v! z0 G/ O
但无法加密中文。

; V5 L7 h, _# I( D' R4.如何从IISLockdown中提取urlscan?
# a5 K) o: W4 M& B2 ]0 T
iislockd.exe /q /c /t:c:\urlscan

5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?

执行

cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
8 N& s' K9 W" j; s, n( V
0 Z0 |) g) v- U$ E最后需要重新启动iis
' D& T: J$ N7 M; C+ e. ~1 j
6.如何解决HTTP500内部错误?
5 `& s  j- L) @, Z* Q
% U% p) e- b. Qiis http500内部错误大部分原因

主要是由于iwam账号的密码不同步造成的。
# b$ z. G) |1 i4 B; T4 f9 @% T
, f6 n* d7 D- X0 m- D我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

# O1 a  A* V4 p* A执行
6 W* R6 [/ c# S
cscript c:\inetpub\adminscripts\synciwam.vbs -v
+ o! t! o$ ]4 g3 b
7.如何增强iis防御SYN Flood的能力?
7 N) o; _# c" v) u8 B* Z# ^
Windows Registry Editor Version 5.00

" `! Y0 u. B+ u2 ~[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

  N9 O# v( ~- _4 r! O% o3 ?$ J设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
# W9 t7 h! n0 k. Q/ V& ~9 H
5 a5 A! ~$ E8 @6 j, w+ }"SynAttackProtect"=dword:00000002

同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

) A  v5 n; {9 P! Y* y4 G! O6 f的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
2 u! W2 l: b3 a$ t. n0 P
! _: A3 v9 u9 W$ D: X"TcpMaxHalfOpen"=dword:00000064

判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。

# u+ k. Q1 G1 L; l"TcpMaxHalfOpenRetried"=dword:00000050

. P% _" j; X4 j: F. s设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
7 [2 P) w# m+ g( f- P/ Q
项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
1 F$ F# B% ?+ ^! O
# I0 l2 s8 b0 D, y+ K: j3 P, i微软站点安全推荐为2。
6 s" Y6 q1 [& Q
* d5 ]# {& C- y) P; w3 |"TcpMaxConnectResponseRetransmissions"=dword:00000001

; A. Y* F) k- k& C) B# G2 U; x4 }设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003
! w/ M( `% K# y
设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005
4 ^% D7 R- l7 @! k
禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
9 z3 i8 [! ^+ Y
; b; o7 D" R. p/ m3 Y" G0 G4 l源路由包，微软站点安全推荐为2。
+ z) |1 U3 Q+ C" F1 g. i
"DisableIPSourceRouting"=dword:0000002

2 ~* f2 b- o: T6 j5 Q( G限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
0 E$ `# G: k/ _7 \7 H' q  `7 P% A
3 I) g- Q( I1 b1 ^! E. I/ O! I"TcpTimedWaitDelay"=dword:0000001e
2 D0 g5 Z6 t9 @1 d) ^; r+ r% e
& L- f% O3 e; r, @& s' I, @9 a( Y8.如何避免*mdb文件被下载?
" q# d& Y% I2 b
安装ms发布的urlscan工具，可以从根本上解决这个问题。
9 r' [7 {$ x( R! U/ B3 a
同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。
" b3 Z2 [( u" `: S" H: g
: Z4 W) l5 W+ J/ X! A% J( v9.如何让iis的最小ntfs权限运行?
( ?/ I' `8 l( ]
6 Z& X3 r7 h# V依次做下面的工作:
- w: @. l' J6 s/ [* G1 |" R' d" F
: }8 p, f# V, r: p; j; y6 L/ Xa.选取整个硬盘:
6 O- N$ q* b+ X0 y6 Z
' I/ c! K7 s& I1 Cystem:完全控制
$ n) L2 T0 l5 T$ g/ r( ?4 \9 S. K
administrator:完全控制

& Q9 ?8 s, @# ^1 `  A2 K& Q+ j(允许将来自父系的可继承性权限传播给对象)

.\program files\common files:
. w$ a# U! b  \+ d5 ]/ h
) n+ x) \5 x4 B5 E2 }& Q6 O* leveryone:读取及运行

列出文件目录
  B* F+ j2 h5 e3 A" x
7 D( F5 y& b4 u# U& f0 Z4 S3 u$ A读取
* Y  W1 L" x$ P" I3 }) f$ Y
(允许将来自父系的可继承性权限传播给对象)
2 K; l4 d! X0 T+ J7 V
c.\inetpub\wwwroot:
1 U2 r6 A+ R6 V
4 R+ N4 s9 _/ |2 h2 Liusr_machine:读取及运行
/ A) M8 x: g* G, X! g& k9 o
+ |% T) g6 F/ g% i8 g列出文件目录
- `, R3 o+ r2 ^' l
5 r# a- w) ?3 v) z; n读取

: j6 |6 h* h5 l* Q# D(允许将来自父系的可继承性权限传播给对象)

$ C# K) h/ j( O/ We.\winnt\system32:

7 t9 L, J  B  |选择除inetsrv和centsrv以外的所有目录，
* a" w3 c7 Y2 t$ x  S4 S1 }7 b0 }
去除“允许将来自父系的可继承性权限传播给对象”选框，复制。
$ {: ?+ N: k- s" k0 m/ t
6 {+ V: T+ {4 s2 R( Y9 L" a1 @f.\winnt:

选择除了downloaded program files、help、iis temporary compressed files、

. S! K5 x) a: u! S! Noffline web pages、system32、tasks、temp、web以外的所有目录

去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

. o+ e1 x) |/ mg.\winnt:
9 V) V* Z# E+ P. c8 Z2 w, b/ c8 `$ `
9 o  n# n8 e/ F6 I: feveryone:读取及运行

4 o# m' C2 f& m7 [列出文件目录
' r/ f" T  \9 s) R9 A0 ^0 _% P
+ U: w% h2 F, a2 m  `读取(允许将来自父系的可继承性权限传播给对象)
0 S- u" y/ n; h  G: c1 ?1 O
h.\winnt\temp (允许访问数据库并显示在asp页面上)

% C" X3 F4 _$ y! z0 qeveryone:修改

& k' E" g" U) z(允许将来自父系的可继承性权限传播给对象)

/ m0 e/ \2 F: c: o+ Z! F: u10.如何隐藏iis版本?
/ n! w3 @1 h; y5 V4 j
" i: ]5 K" p/ i7 t  q9 c一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

iis存放IIS BANNER的所对应的dll文件如下:
; x1 y1 F, ^( Y2 h/ c6 X
/ O- ?6 M  {" r3 D% |4 TWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
2 _/ l" w. E6 L" n+ ^
0 Z( G; n' b; X9 W( t: f1 |* L! w* u' mSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

: r- e+ p( D0 S. W& H" x你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

2 [  M( Q/ f- x9 J& N+ J# \具体过程如下:

1.停掉iis iisreset /stop
; S4 B+ r) E& R- d" ~  r
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

3.修改