Preguntas frecuentes sobre intrusión de IIS en el alojamiento web

Preguntas frecuentes sobre intrusión de IIS en el hospedaje web 1. ¿Cómo hacer que el script asp se ejecute con privilegios del sistema?

Modifique el directorio virtual correspondiente a su script de asp. " Protección de la aplicación " Modificado a " Bajo " ....

2. ¿Cómo prevenir un troyano asp?

Un troyano asp basado en el componente FileSystemObject

cacls % systemroot% \\ system32 \\ scrrun.dll /e /d invitados //Uso incorrecto de los huéspedes

regsvr32 scrrun.dll /u /s //eliminar

asp trojan basado en el componente shell.application

cacls% systemroot% \\ system32 \\ shell32.dll /e /d invitados //Inhabilita a los invitados de usar

regsvr32 shell32.dll /u /s //eliminar

3 ¿Cómo cifrar archivos asp?

Desde la descarga gratuita de Microsoft a sce10chs.exe, ejecute directamente para completar el proceso de instalación.

Una vez completada la instalación, se generará el archivo screnc.exe, que es una herramienta de comando que se ejecuta en DOS PROMAPT.

Ejecute screnc - l vbscript source.asp destination.asp

Genere un nuevo archivo que contenga el texto cifrado ASP script destination.asp

Ábralo con el Bloc de notas y vea "" " Dentro, independientemente de si está anotado, se convierte en un texto cifrado ilegible

pero no puede cifrar el chino.

4. ¿Cómo extraer urlscan de IISLockdown?

iislockd.exe /q /c /t: c: \\ urlscan

5. Cómo evitar el encabezado Content-Location ¿Ha expuesto la dirección IP interna del servidor web?

Ejecutar

cscript c: \\ inetpub \\ adminscripts \\ adsutil.vbs set w3svc /UseHostName True

Finalmente, necesito reiniciar iis < Br>

6. ¿Cómo resolver el error interno HTTP500?

Iis error interno http500 La mayoría de las razones

Principalmente debido a que la contraseña de la cuenta iwam no está sincronizada.

Podemos resolver el problema sincronizando la contraseña de la cuenta iwam_myserver en la aplicación com +.

Ejecutar

cscript c: \\ inetpub \\ adminscripts \\ synciwam.vbs -v

7. ¿Cómo mejorar la capacidad de iis para defenderse de SYN Flood?

Windows Registry Editor, versión 5.00

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]

Inicia la protección de ataque de sincronización. Si el valor predeterminado es 0, la protección contra ataques no está habilitada. El valor de 1 y 2 indica que la protección contra ataques está habilitada. Una vez que la configuración es 2, el nivel de seguridad es mayor. El inicio debe activarse de acuerdo con las condiciones establecidas por los siguientes valores de TcpMaxHalfOpen y TcpMaxHalfOpenRetried

. Debe tenerse en cuenta que NT4.0 debe configurarse en 1, y en 2 hará que el sistema se reinicie bajo un paquete especial.

" SynAttackProtect " = dword: 00000002

El número de semifusiones que se pueden abrir al mismo tiempo. La llamada semi-unión, lo que significa que la sesión TCP no está completamente establecida, puede ver el estado SYN_RCVD

con el comando netstat. Aquí utilizamos el valor recomendado de Microsoft, el servidor se establece en 100 y el servidor avanzado se establece en 500. La sugerencia puede ser un poco más pequeña.

" TcpMaxHalfOpen " = dword: 00000064

Determine si hay un punto de activación para el ataque. Aquí usamos el valor recomendado de Microsoft, el servidor es 80 y el servidor avanzado es 400.

" TcpMaxHalfOpenRetried " = dword: 00000050

Establezca el tiempo de espera para SYN-ACK. El valor predeterminado es 3, que por defecto es de 45 segundos. El valor del elemento es 2 y el tiempo transcurrido es de 21 segundos.

El valor del elemento es 1 y el tiempo transcurrido es de 9 segundos. El mínimo se puede establecer en 0, lo que significa que no hay que esperar y el tiempo de consumo es de 3 segundos. Este valor se puede modificar en función del tamaño del ataque.

Microsoft Site Security se recomienda como 2.

" TcpMaxConnectResponseRetransmissions " = dword: 00000001

Establece el número de veces que TCP retransmite un único segmento de datos. El valor predeterminado es 5, que por defecto es de 240 segundos. La seguridad del sitio de Microsoft se recomienda como 3.

" TcpMaxDataRetransmissions " = dword: 00000003

Establezca el punto crítico para la protección contra ataques de sincronización. Cuando la reserva disponible se convierte en 0, este parámetro se usa para controlar la apertura de la protección contra ataques de sincronización. La recomendación de seguridad del sitio de Microsoft es 5.

" TCPMaxPortsExhausted " = dword: 00000005

Deshabilita el enrutamiento de la fuente IP. Si el valor predeterminado es 1, significa que no se reenvía el paquete de ruta de origen. El valor de la entrada es 0, lo que indica que se realiza todo el reenvío. Si el valor se establece en 2, se descartan todos los paquetes de enrutamiento de origen de

aceptados. La recomendación de seguridad del sitio Microsoft es 2.

" DisableIPSourceRouting " = dword: 0000002

Limita el tiempo máximo en el estado TIME_WAIT. El valor predeterminado es 240 segundos, el mínimo es 30 segundos y el máximo es 300 segundos. Se recomienda ajustar a 30 segundos.

" TcpTimedWaitDelay " = dword: 0000001e

8. ¿Cómo evitar que se descarguen archivos * mdb?

La instalación de la herramienta urlscan de ms emitida puede resolver este problema fundamentalmente .

Al mismo tiempo, también es una poderosa herramienta de seguridad, puede obtener información más detallada en el sitio web de ms.

9. ¿Cómo hacer que se ejecute el permiso ntfs mínimo de iis?

Realice los siguientes trabajos en orden:

a. Seleccione todo el disco duro:

ystem: Complete Administrador de control de

: Control total de

(Permite que el permiso de herencia del principal se propague al objeto)

. \\ Archivos de programa \\ archivos comunes:

todos: leer y ejecutar

directorio de archivos de lista

leer

(permite que los permisos de herencia del padre se propaguen al objeto)

c. \\ inetpub \\ wwwroot:

iusr_machine: Leer y ejecutar

Listar directorio de archivos

Leer

(Permite desde el padre) Los permisos heredados se propagan a los objetos)

e. \\ Winnt \\ system32:

Seleccione todos los directorios excepto inetsrv y centsrv,

Elimine "Permitir desde el padre" Los permisos heredables se propagan a la casilla de verificación del objeto, se copian.

f. \\ winnt:

Seleccionar todos excepto los archivos de programa descargados, ayuda, es archivos comprimidos temporales,

páginas web sin conexión, system32, tareas, temperatura, web Directorio

Quite la casilla de verificación "Permitir que los permisos heredables de los padres se propaguen a objetos" para copiar.

g. \\ winnt:

todos: lea y ejecute

directorio de archivos de lista

lea

(permitir El permiso de herencia del padre se propaga al objeto)

h. \\ Winnt \\ temp: (permite el acceso a la base de datos y se muestra en la página asp)

todos: modifique

(Permite que los permisos de herencia del padre se propaguen al objeto)

10. ¿Cómo ocultar la versión iis?

Un pirata informático puede enviar un telnet a su puerto web y enviar un comando de obtención. Obtenga mucha información sobre

iis almacena el archivo dll correspondiente de IIS BANNER de la siguiente manera:

WEB: C: \\ WINNT \\ SYSTEM32 \\ INETSRV \\ W3SVC.DLL

FTP: C : \\ WINNT \\ SYSTEM32 \\ INETSRV \\ FTPSVC2.DLL

SMTP: C: \\ WINNT \\ SYSTEM32 \\ INETSRV \\ SMTPSVC.DLL

Puedes usar el editor hexadecimal para modificar esos archivos dll. Palabras clave como iis Microsoft-IIS /5.0

El proceso específico es el siguiente:

1. Detener iis iisreset /stop

2. Eliminar% SYSTEMROOT% \\ system32 El mismo archivo de nombre en el directorio \\ dllcache

3. Modificar