标题:
学会十个“如何”打造安全IIS服务器
[打印本页]
作者:
admin
时间:
2008-1-25 02:15
标题:
学会十个“如何”打造安全IIS服务器
1、如何让asp脚本以system权限运行
) A( @/ X2 [2 x( X; ^
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
( X6 g# }, C4 Z' j
2、如何防止asp木马
& b0 @+ M U4 w" a0 X/ j
基于FileSystemObject组件的asp木马
" V: I& }/ M1 I6 k8 H- h
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
0 z/ \) f* w) Q- b* u
regsvr32 scrrun.dll /u /s //删除
* I8 O6 F8 Z1 ?* ] ^3 m8 o: y
基于shell.application组件的asp木马
0 G ?3 ~" k# t" ~4 _" ?
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
) @) }: t+ f$ J1 V8 ]- E1 D
regsvr32 shell32.dll /u /s //删除
& n. h& f- q+ y0 l9 ]9 h0 f2 r
3、如何加密asp文件
0 h" i" [+ r' a+ {. \5 M
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ d$ E- ^' S- ?4 a' s
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- z, C' G7 d+ S1 n! U' \& n3 d S7 L
运行screnc - l vbscript source.asp destination.asp
; L9 @: Z* b8 p, @
生成包含密文ASP脚本的新文件destination.asp
( ~) |4 h. i$ `; E1 }
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
) n/ S* q& f! ^) {9 V! `/ Z3 ^
但无法加密中文。
! E* A. {4 z' e; q
4、如何从IISLockdown中提取urlscan
: E5 H; Q$ ?7 M9 I0 t. H
iislockd.exe /q /c /t:c:/urlscan
( Y5 p# o% K; X( ?. n: e
5、如何防止Content-Location标头暴露了web
服务器
的内部IP地址
8 ?. i: O- X @9 s( M
执行
. Q6 d/ n4 q8 t/ s
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
# W5 q/ h+ u y* a: i! H% G7 `
最后需要重新启动iis
8 I3 g; T* L2 h2 ?2 y/ [. t
6、如何解决HTTP500内部错误
9 i' @4 g$ Z1 i% c- q- u6 s6 f# \
iis http500内部错误大部分原因
! E7 [9 ]2 Y b& Y
主要是由于iwam账号的密码不同步造成的。
# m$ U/ E% X2 q, T
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 K" M5 Y; F' ~7 }
执行
: n8 J; x% t( z9 D I
cscript c:/inetpub/adminscripts/synciwam.vbs -v
6 P% d6 L, R" B# c+ K7 [
7、如何增强iis防御SYN Flood的能力
+ ~ u6 E. I4 H5 J& F
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
' P, {8 B8 [ V. M% Z' Q) f
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
8 q2 c2 N- c" }) S5 H
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
$ m; e6 F5 ?, Q% h B1 |
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
: O9 i/ ]" o1 n; E, |
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ L7 n; u8 }; J, n: a% @
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! z3 {1 V4 A' B$ ]
微软站点安全推荐为2。
8 z5 w# N% H" ?+ v0 g7 H$ M ]
"TcpMaxConnectResponseRetransmissions"=dword:00000001
! ]# K% S; n. _2 ]& ^9 N. F
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
+ J% B3 Y' @: G) A+ i6 Q+ ~
"TcpMaxDataRetransmissions"=dword:00000003
9 t6 ~( \& g _4 w2 B3 E' y
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
3 m. e& K% K7 ]; H
"TCPMaxPortsExhausted"=dword:00000005
( Y+ M# j0 |9 _. i2 ^, F
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
! x% c" I5 F! ]9 v7 l5 R
"DisableIPSourceRouting"=dword:0000002
! ]7 m* j, C. z2 T8 P
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' A2 N I& d: E: `3 a+ [% A$ d5 Y9 a
"TcpTimedWaitDelay"=dword:0000001e
- Y$ r: D# d& X3 }1 G3 ?- I3 O; I
& P! k/ ?9 l- }8 \( Z; y
8、如何避免*mdb文件被下载
4 t5 V% z5 ` ~' S4 Q) O1 i# A
安装ms发布的urlscan工具,可以从根本上解决这个问题。
k4 j) H4 g2 T. N6 c
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
6 M$ y8 O( o# i/ i; A9 ]; m
9、如何让iis的最小ntfs权限运行
0 f3 z+ s! }" a
依次做下面的工作:
; z0 Q! v6 }. e7 V+ q+ g' |5 O) A/ B
a、选取整个硬盘:
& D# k% h& ~0 k! @* I5 p' s
system:完全控制
2 R+ m) J0 \2 m5 u, u
administrator:完全控制
' ? B$ z$ H3 T4 K
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
% J7 G! d0 D: n/ ~8 V
everyone:读取及运行列出文件目录读取
8 S3 M2 H, R9 I1 I7 J& x
(允许将来自父系的可继承性权限传播给对象)
9 p* V0 ^6 v C( t/ w L. i
c、/inetpub/wwwroot:
" C# P7 Z( x' k( h6 w0 [
iusr_machine:读取及运行列出文件目录读取
: n% m2 ~, ^! o2 c+ a
(允许将来自父系的可继承性权限传播给对象)
4 Y" }6 c& b, ]7 f
e、/winnt/system32:
3 A1 C @& R O# L/ _8 e
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: T: A0 a( m+ p. a- H. G8 {( h
f、/winnt:
6 _% B+ ]6 o! f% S" I# l1 j0 \
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( ?* m6 D: H/ y) H, Q
g、/winnt:
2 \- o8 U# Z5 R
" Z9 s$ n/ n" q- `2 Q" R
everyone:读取及运行列出文件目录读取
* o/ o' b L- M; o4 q* `7 H1 F3 \1 X
(允许将来自父系的可继承性权限传播给对象)
: P7 d. x- e& `) N! S, @5 [5 A- O
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
1 r; T: a) b3 ^! a( B
everyone:修改
- j7 l, X6 t5 Q$ |# }$ M
(允许将来自父系的可继承性权限传播给对象)
/ j; U3 T3 S* R! N
10、如何隐藏iis版本
% b* h8 @9 d- w: ]0 c% p9 F$ U
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 t+ [) n) @ O+ X9 H8 T: d: p
iis存放IIS BANNER的所对应的dll文件如下:
2 B# a }/ g" b
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
) ^9 b+ y6 _; P2 f+ \- T7 R, Z5 Y
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
8 C0 v. o6 S. V6 r
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
* H7 m K Y1 m! e7 J
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
- \/ p u! q" }+ b" K! `+ A
具体过程如下:
( V( t% P+ W2 M/ q4 i* ~" z
1、停掉iis iisreset /stop
4 @* H3 P4 g: |9 ~
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
8 s. k1 Q, O& N, p8 j( P7 m
3、修改
欢迎光临 捌玖网络工作室 (http://89w.org/)
Powered by Discuz! 7.2
