标题:
学会十个“如何”打造安全IIS服务器
[打印本页]
作者:
admin
时间:
2008-1-25 02:15
标题:
学会十个“如何”打造安全IIS服务器
1、如何让asp脚本以system权限运行
; L0 L5 p; g. k; {
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
: Q; f) }6 a8 G$ v" x
2、如何防止asp木马
1 [* L2 U2 J* H6 ?( E8 d
基于FileSystemObject组件的asp木马
: ~- h0 [7 L M- D
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
6 i; W3 c/ ^4 \, G5 l! m! ^/ P
regsvr32 scrrun.dll /u /s //删除
( `" n7 }1 n) Y. ]1 S6 Y4 D
基于shell.application组件的asp木马
3 b5 U% ] k y o% G
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
! O; e8 X8 a: }& h" P5 w
regsvr32 shell32.dll /u /s //删除
% F! H a3 j! E# O' x
3、如何加密asp文件
, z& W/ w8 A% B! f. [2 z" o! t
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
; m9 g3 Y% Z4 W) J$ {$ r8 N+ }
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
; l' P1 c2 Q$ _8 a
运行screnc - l vbscript source.asp destination.asp
; C1 @& P$ `+ o' H! y
生成包含密文ASP脚本的新文件destination.asp
1 r4 D; I( I4 [: q/ _, V1 a
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( f( L6 N4 x A0 ]
但无法加密中文。
9 W- j: e0 J) a5 ?# i4 b
4、如何从IISLockdown中提取urlscan
6 w# }7 b* N C8 U }+ F4 F
iislockd.exe /q /c /t:c:/urlscan
) b! z0 j8 [) {' b3 \/ z6 v
5、如何防止Content-Location标头暴露了web
服务器
的内部IP地址
7 J+ U3 Y! w# I/ g6 |
执行
/ i$ H- D! [; S( _) U! }: \" G
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
% `0 o' }, ]& P& o+ n" j
最后需要重新启动iis
T% z' P8 x9 ^ F. J
6、如何解决HTTP500内部错误
' s. o* ^) q% H, L. i5 \% {' b3 }4 o
iis http500内部错误大部分原因
* A& A/ y% z: r. Q$ D
主要是由于iwam账号的密码不同步造成的。
^3 v% R# H }, T- c; h9 c0 w$ d
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
2 u/ {" L; L& H; V9 J, T
执行
" p' `- c. Q2 n" [9 k7 u
cscript c:/inetpub/adminscripts/synciwam.vbs -v
( h( ]1 j5 l0 L' c
7、如何增强iis防御SYN Flood的能力
' F: P2 b$ G5 k% z: Q& q
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
k1 r4 |; o; y
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
" W5 F4 t2 x7 d/ ?
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
, {. X9 ~3 l5 {% V7 t" C( a) Y
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
" \! c4 n7 }. P B2 Z! g4 ^4 c
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' R( H8 k7 N' z7 U8 P) |
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
/ L6 N3 p, z. ~# s
微软站点安全推荐为2。
: g) n7 `, E) s4 A% T( G/ `+ Y
"TcpMaxConnectResponseRetransmissions"=dword:00000001
: }6 l( |8 F2 n- f/ X& h4 }; D4 F
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
% u W K) L9 o# m6 ~: u M/ _9 k
"TcpMaxDataRetransmissions"=dword:00000003
6 L0 @: f8 M1 ]( C% u2 o
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
i) R- m. U# c% d
"TCPMaxPortsExhausted"=dword:00000005
* z1 F1 ]. H- a# X
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
$ h/ y L, u& |+ i: V
"DisableIPSourceRouting"=dword:0000002
% Z' s% Y4 O/ V/ {1 g
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
5 z& t# \* q) N) O0 P
"TcpTimedWaitDelay"=dword:0000001e
/ Q2 A% D! F8 t5 Z6 q7 Q/ \
1 G0 y2 N6 j) Y6 i# p
8、如何避免*mdb文件被下载
/ n6 }& L2 q. L6 K! `* P9 c
安装ms发布的urlscan工具,可以从根本上解决这个问题。
; l& k2 U+ v7 u! {) Y' h
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
/ ]* ~% A$ h0 E/ f" H" G0 Q) D
9、如何让iis的最小ntfs权限运行
l3 S/ Y. y. T$ J( t9 M- {" w
依次做下面的工作:
9 e$ T% O3 Z V5 `% ?
a、选取整个硬盘:
. i2 t8 x0 ]3 s6 }3 t
system:完全控制
1 ]4 W% H9 O* z0 N5 t9 L
administrator:完全控制
: L) g2 h v" i3 K0 }# d0 \: }: u
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
A0 }4 V) {3 o4 z6 X$ ~' o
everyone:读取及运行列出文件目录读取
9 N! v! ^9 a5 U* i; F6 ^. n
(允许将来自父系的可继承性权限传播给对象)
~" Q7 S; v- ^ t: I
c、/inetpub/wwwroot:
: F+ b- Q8 R# |# w5 ~8 x$ y
iusr_machine:读取及运行列出文件目录读取
* k0 Z. M7 r- l8 `* n! [+ o3 `
(允许将来自父系的可继承性权限传播给对象)
' d- M' D1 q* g6 M+ `
e、/winnt/system32:
/ E v- Q# u5 \# n3 e) P
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( | P2 Y# o0 _ M1 o
f、/winnt:
. @4 c5 P( l4 V! v6 s
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: k9 S0 B: M$ ?6 x4 ^8 h: Z/ D
g、/winnt:
; u( I4 ^7 M0 }0 r3 R
2 O f7 g! s8 X' M4 \' A
everyone:读取及运行列出文件目录读取
* I( K6 c: ~1 h; L: L" E) k
(允许将来自父系的可继承性权限传播给对象)
; C1 J/ j( `' O: l
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
( O6 D0 Z4 Z6 [+ [
everyone:修改
$ J9 U7 p- d: K' I8 `
(允许将来自父系的可继承性权限传播给对象)
# B$ n6 t! N" E4 L
10、如何隐藏iis版本
: w9 R, F3 I% K4 {' j5 A
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
. F( y2 |; W* n4 r1 K. r) T0 u0 u0 _
iis存放IIS BANNER的所对应的dll文件如下:
9 i6 t7 Y+ e# B! g
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
; N, l1 d8 u7 J- N/ J9 K7 z# z
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
3 Z! o3 j v9 t$ T
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
5 a$ Z. c7 n" }9 Y
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
' |/ J' P7 @5 k7 T$ v) a
具体过程如下:
; N" I, w% a$ e/ H: g
1、停掉iis iisreset /stop
# `3 o3 q1 D; }/ X2 V8 A2 w- Z
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
1 `9 W0 F& o: ^1 P/ Y0 L
3、修改
欢迎光临 捌玖网络工作室 (http://www.89w.org/)
Powered by Discuz! 7.2
