标题:
学会十个“如何”打造安全IIS服务器
[打印本页]
作者:
admin
时间:
2008-1-25 02:15
标题:
学会十个“如何”打造安全IIS服务器
1、如何让asp脚本以system权限运行
- W5 J: w# t1 y- s1 y
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% A4 p, i: `1 e# P2 k2 t
2、如何防止asp木马
- J8 o/ C; a5 K/ h- o
基于FileSystemObject组件的asp木马
/ F# M8 f6 q1 ?3 ~0 @( F* K
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
3 g# }% v( j0 l9 ]3 t
regsvr32 scrrun.dll /u /s //删除
* g' K* x( h0 X9 t3 W
基于shell.application组件的asp木马
" n7 J* L! \& w% W {' _! w
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
S+ K2 }4 c9 P! ?, R
regsvr32 shell32.dll /u /s //删除
7 X1 P6 n1 n! d; `5 f5 E6 S
3、如何加密asp文件
# R/ O" W- X! w$ f8 y) ?/ c7 X
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
7 o2 P% F/ A& _3 x5 ?6 U$ G
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
2 ^& M: Y4 { M. C" {
运行screnc - l vbscript source.asp destination.asp
- l- w+ x9 E% b/ w5 G
生成包含密文ASP脚本的新文件destination.asp
" K9 {; i* l- j3 t" X1 g& u6 Q; T
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
$ I& U# D' z; v5 s* B
但无法加密中文。
7 z& u* t7 N% a# n" I
4、如何从IISLockdown中提取urlscan
+ g8 S m7 O0 C8 \7 C1 S
iislockd.exe /q /c /t:c:/urlscan
& k1 M3 j' }* |- d2 e0 y
5、如何防止Content-Location标头暴露了web
服务器
的内部IP地址
p [& X* c8 R6 D2 H# x
执行
9 Q6 S8 L' ]2 z9 ~2 c6 w) }: }
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
# j6 t- O/ Y' f7 I' b4 l5 l4 b
最后需要重新启动iis
$ b/ |9 Z/ q! `7 x6 U
6、如何解决HTTP500内部错误
! w- N8 W* K! X& H5 Q2 Z# T
iis http500内部错误大部分原因
+ q# n+ p; h2 n: `( o0 e) r
主要是由于iwam账号的密码不同步造成的。
# I7 g, Z& {, ^
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
# f1 Y* ] d7 |% {+ u: T& S& b
执行
7 ~) d2 t- c1 a) U6 m0 \, ~* b
cscript c:/inetpub/adminscripts/synciwam.vbs -v
! m+ _3 x! w8 R! p$ ?# g
7、如何增强iis防御SYN Flood的能力
8 w" n& H$ G, k( C/ { e3 X
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
: l. j' h3 g( k0 i1 T: \7 Q
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
$ L, a3 a! M1 V, T5 L
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# Y& } C0 h$ m+ j! f* T" C! O
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
8 Z$ | a3 u/ \# D- b3 m
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
3 @9 N Z% \! Q8 V7 [
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
" U% b2 X7 g. W/ I y' X- t/ o7 ?
微软站点安全推荐为2。
' J" r8 e' R) G+ H, F3 J
"TcpMaxConnectResponseRetransmissions"=dword:00000001
5 x5 @# h* z: R; W3 x+ P; Z n' t, v
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
% o( U) b8 r) G" z2 w
"TcpMaxDataRetransmissions"=dword:00000003
2 v- o' v3 R5 U
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
: E9 J$ Z" l4 q
"TCPMaxPortsExhausted"=dword:00000005
8 k X, p6 l4 \
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
7 i3 Y$ q- k% `2 v
"DisableIPSourceRouting"=dword:0000002
1 w9 b/ C# C$ R( v' o- B
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
& Y4 G/ d. V( a4 d& }
"TcpTimedWaitDelay"=dword:0000001e
( e0 u& o' J; J9 K$ X" Z
6 N' t7 G! g/ _3 i& X1 A# s$ }
8、如何避免*mdb文件被下载
$ N d X- u7 b* |! l
安装ms发布的urlscan工具,可以从根本上解决这个问题。
! S% | M* b2 q3 C# C$ W
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
9 H, E- I4 j2 n# x2 p3 A
9、如何让iis的最小ntfs权限运行
; c! ^& }- f3 q9 O2 _0 i
依次做下面的工作:
% R9 z- H+ |0 f( L5 ~
a、选取整个硬盘:
6 G$ N1 Q/ z5 |. N4 ]* H
system:完全控制
# w! M: d' r8 T5 ~( j. N$ Q2 z; }
administrator:完全控制
& x& i, @4 A! l& P/ u, \
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
, V( | o1 W' o2 }/ P5 g
everyone:读取及运行列出文件目录读取
& y! T" h& V, U/ R& H8 V; X
(允许将来自父系的可继承性权限传播给对象)
3 r: N o$ h) E+ O7 w) S2 J
c、/inetpub/wwwroot:
5 u; Q: u4 K9 r' p, J+ t
iusr_machine:读取及运行列出文件目录读取
- ^. I' ^- B/ w
(允许将来自父系的可继承性权限传播给对象)
% m- I' E) s" h6 t
e、/winnt/system32:
+ ?6 R3 ]* R& H6 F7 D
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ P2 o1 G; v, k1 g5 ]. c
f、/winnt:
# |8 S4 T$ _2 e K2 }$ C! K) }7 @
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( j/ {. v: R% t
g、/winnt:
k/ P, z# t. h e
' q: }6 ]) v) |% g+ ?( y) y0 f
everyone:读取及运行列出文件目录读取
" T" k" ?* ^, D( m6 |
(允许将来自父系的可继承性权限传播给对象)
' Q- x. U7 U8 {6 Z
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
" }" D6 q7 g( ~8 j8 R4 ~
everyone:修改
1 p( s" y4 p8 H& o2 G8 B( F
(允许将来自父系的可继承性权限传播给对象)
) I! J: X7 t- r- j; K
10、如何隐藏iis版本
+ ~. L; R/ {) f6 `
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
; J/ m% R8 J* V" Z3 u
iis存放IIS BANNER的所对应的dll文件如下:
$ I4 r7 I" _- p+ \. F
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
8 M1 u$ n/ U! b2 a) x1 h
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
+ d- F J2 m2 t) v$ f( x
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
0 o8 Y# L2 Q6 }5 |# G5 A
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
1 _4 i6 Z7 e8 O9 }$ j' K
具体过程如下:
. [' V8 h4 V9 @7 ]7 o
1、停掉iis iisreset /stop
& u0 v M) j+ h( G; @) J D
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
2 u1 |5 x, c& {7 z4 l# r8 n; \. C
3、修改
欢迎光临 捌玖网络工作室 (http://www.89w.org/)
Powered by Discuz! 7.2
