标题:
学会十个“如何”打造安全IIS服务器
[打印本页]
作者:
admin
时间:
2008-1-25 02:15
标题:
学会十个“如何”打造安全IIS服务器
1、如何让asp脚本以system权限运行
- N F' I! B5 [' H: e# S
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% o7 x# x. V0 e
2、如何防止asp木马
$ C" }: Q3 W5 x9 c2 I
基于FileSystemObject组件的asp木马
) k7 H8 E; C+ N3 s8 L" B3 H
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
, [6 ?2 e5 }( _7 J
regsvr32 scrrun.dll /u /s //删除
! q" X' h& B8 w6 t& ]* C# b
基于shell.application组件的asp木马
3 g7 Y5 t7 J' J l/ t/ O3 X
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
* G6 A% \0 W. k; O$ j
regsvr32 shell32.dll /u /s //删除
8 M/ b+ `6 S n3 I
3、如何加密asp文件
5 E4 p- z# @6 e* Y% i
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ z! E% ^4 g- [1 K& W: C4 i
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
* ?) R# B( a) b6 m" F
运行screnc - l vbscript source.asp destination.asp
8 ?: F" }4 D' I) q$ g* ?' t/ d
生成包含密文ASP脚本的新文件destination.asp
) {1 A7 m6 \% R6 Q3 ]6 y
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* _' D7 z# t4 W
但无法加密中文。
; j! b" ?# q6 o
4、如何从IISLockdown中提取urlscan
" Y4 G2 c2 ]+ u' l7 s* I" \) i
iislockd.exe /q /c /t:c:/urlscan
* ] b- J, Z3 V0 _
5、如何防止Content-Location标头暴露了web
服务器
的内部IP地址
3 {2 ?0 J0 n7 e: V
执行
) a6 t# P0 O; W
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
( s# r" b3 b, A+ B6 n3 b6 e7 C2 d
最后需要重新启动iis
$ `6 Q9 x! H9 P! @; E( {& i# p. @+ g
6、如何解决HTTP500内部错误
, ~; ^( ~+ g% k$ H Q6 U2 t) j/ O
iis http500内部错误大部分原因
$ q; v' I# P$ t& p( ?9 m6 N3 E
主要是由于iwam账号的密码不同步造成的。
1 U1 y5 q; c1 ~, A" k
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
: \5 M# x. r; A9 U8 |3 Z8 Z
执行
0 N5 J, e+ {- W9 R
cscript c:/inetpub/adminscripts/synciwam.vbs -v
* O% j( b8 w& _) {7 l$ e* S I
7、如何增强iis防御SYN Flood的能力
% Y: Z; B3 {- B4 v
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
, W5 B5 j' c+ P! u
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
" j! W2 k4 N' J7 Y5 j& K. z
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
! [/ \2 e" M' T. z
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
% A* Y& R! k" ]" c$ ^( g4 Y
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
) V8 T7 D6 l# x+ D" E8 T& b* H
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
# W' e1 G8 |+ u# k3 v6 j; R
微软站点安全推荐为2。
& B6 Y( y# P- v, D, h5 T- @5 V
"TcpMaxConnectResponseRetransmissions"=dword:00000001
' g9 O: k) j# ^2 b
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
4 {* n; O! B F' `+ \ [: M
"TcpMaxDataRetransmissions"=dword:00000003
3 B2 Y# h4 W0 R9 {6 M0 a5 {; R, M
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
8 d# b% N( K, L* O/ T+ ?! r3 ?" q7 Z
"TCPMaxPortsExhausted"=dword:00000005
. ~ W4 y# G- U1 l4 X
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
1 c* V0 z# D- P# ]+ |
"DisableIPSourceRouting"=dword:0000002
6 N$ B. r& |( D. Z) V
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
& Y. T' ]5 ?( q p. O
"TcpTimedWaitDelay"=dword:0000001e
9 y. k' ]/ J9 t
8 G" O% @9 ~; J) Y
8、如何避免*mdb文件被下载
+ u3 J1 C# ~8 {' r
安装ms发布的urlscan工具,可以从根本上解决这个问题。
* V6 E, \% ~/ O9 k3 `
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
- m( P) Y& Z* |$ n( l
9、如何让iis的最小ntfs权限运行
. E' N, A5 d6 U1 w/ @
依次做下面的工作:
! K' d- n9 `+ N8 ~# c6 f
a、选取整个硬盘:
3 d- v) A& Q& `' r, j4 l2 b" m
system:完全控制
8 V# z7 v/ T# M Z+ k
administrator:完全控制
& S; k$ H6 E/ U) o$ n5 \9 Y) s
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
; u. b. [5 P+ H# I- U
everyone:读取及运行列出文件目录读取
m9 X& S( m" h2 _7 \7 X; }
(允许将来自父系的可继承性权限传播给对象)
9 u, _" K. C7 h! T4 V6 ]+ X( N j5 ]
c、/inetpub/wwwroot:
9 j. E0 b- V5 q- d
iusr_machine:读取及运行列出文件目录读取
" Z! q+ V7 D$ J0 K- Y. X6 i3 b$ m
(允许将来自父系的可继承性权限传播给对象)
% i" _+ e/ U. O7 S. e, z4 N& A. V
e、/winnt/system32:
! D* M) k8 [4 U! G
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' Y$ p% N1 a; A% i3 {4 g2 S
f、/winnt:
* h; f+ t1 U) I5 F! t2 @
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' a! L" \0 m5 j) ]$ o* q1 ~
g、/winnt:
1 W. C- |$ m( x; o
+ k+ C! Q/ b2 N+ m1 W
everyone:读取及运行列出文件目录读取
# \& w# ~, e, e: j' ]& O" Z0 S R
(允许将来自父系的可继承性权限传播给对象)
" }3 {9 ]& e4 }: m
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
" }3 f6 A4 ` i" G
everyone:修改
3 _2 @: B$ y2 r+ B0 g" h' Y8 C) i
(允许将来自父系的可继承性权限传播给对象)
: P1 n9 s, [# B) Z- S, F2 n- D
10、如何隐藏iis版本
. Z* O! g: h! j6 p1 u& F% J
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
6 ]0 L& X6 `3 {0 M6 O
iis存放IIS BANNER的所对应的dll文件如下:
& K1 g2 b# u) l% ^
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
( S. d2 [9 @9 ~9 k, n, u! w
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
4 I- S8 ]) v0 s/ F, A9 D: e
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
+ D. K9 W* k4 M
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
4 c2 I& O, d8 d3 ^
具体过程如下:
9 m& k8 M- f$ O+ J8 k1 G
1、停掉iis iisreset /stop
, z7 T; n( K2 R
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
! Y1 J0 Z6 n% K* F7 R( Y
3、修改
欢迎光临 捌玖网络工作室 (http://www.89w.org/)
Powered by Discuz! 7.2
