WebホスティングIIS侵入FAQ

WebホスティングIIS侵入FAQ：1. aspスクリプトをシステム権限で実行する方法

あなたのaspスクリプトに対応する仮想ディレクトリを変更します。 "アプリケーション保護"を"低"に変更しました....

2. aspトロイの木馬を防ぐ方法？

FileSystemObjectコンポーネントに基づくAspトロイの木馬

cacls ％systemroot％\\ system32 \\ scrrun.dll /e /d guests //ゲストの不適切な使用

regsvr32 scrrun.dll /u /s //削除

aspトロイの木馬は、shell.applicationコンポーネントに基づいています。

cacls％systemroot％\\ system32 \\ shell32.dll /e /d guests //ゲストの使用を無効にします

regsvr32 shell32.dll /u /s //削除

3 aspファイルを暗号化するには？

Microsoftの無料ダウンロードからsce10chs.exeまでを直接実行して、インストールプロセスを完了します。

インストールが完了すると、screnc.exeファイルが生成されます。これはDOS PROMAPT上で実行されるコマンドツールです。

screncを実行する - l vbscript source.asp destination.asp

暗号化テキストを含む新しいファイルを作成するASPスクリプトdestination.asp

メモ帳で開いて""を参照してください。注釈付きかどうかにかかわらず、内では判読できない暗号文

になりますが、中国語を暗号化することはできません。

4. IISLockdownからurlscanを抽出する方法？

iislockd.exe /q /c /t：c：\\ urlscan

5. Content-Locationヘッダーを回避する方法Webサーバーの内部IPアドレスを公開しましたか？

実行

cscript c：\\ inetpub \\ adminscripts \\ adsutil.vbs set w3svc /UseHostName True

最後にiisを再起動する必要があります< Br>

6. HTTP500の内部エラーを解決するにはどうすればよいですか？

主な理由はhttp500の内部エラーです。

主にiwamアカウントのパスワードが同期されていないためです。

com +アプリケーションでiwam_myserverアカウントのパスワードを同期することで問題を解決できます。

実行

cscript c：\\ inetpub \\ adminscripts \\ synciwam.vbs -v

7.どのようにしてSYNフラッドに対するiisの防御能力を強化しますか？

WindowsレジストリエディタVersion 5.00

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters]

syn攻撃からの保護を開始します。デフォルト値が0の場合、攻撃保護は有効になっていません1と2の値は、攻撃保護が有効であることを示しています。次のTcpMaxHalfOpenおよびTcpMaxHalfOpenRetriedの値で設定された条件に従って起動を開始する必要があります。

。ここで注意しなければならないのは、NT4.0を1に設定し、2に設定するとシステムが特別なパケットのもとで再起動することです。

" SynAttackProtect" = dword：00000002

同時に開くことができる準結合の数。 TCPセッションが完全に確立されていないことを意味する、いわゆる準結合は、netstatコマンドでSYN_RCVD状態

を見ることができます。ここではマイクロソフトの推奨値を使用し、サーバーは100に設定され、アドバンストサーバーは500に設定されています。提案は少し小さく設定することができます。

" TcpMaxHalfOpen" = dword：00000064

攻撃のトリガーポイントがあるかどうかを確認します。ここではマイクロソフトが推奨する値を使用し、サーバーは80、アドバンストサーバーは400です。

" TcpMaxHalfOpenRetried" = dword：00000050
< P> SYN-ACKを待機する時間を設定します。デフォルト値は3で、デフォルトは45秒です。項目値は2、経過時間は21秒です。

項目値は1、経過時間は9秒です。最小値は0に設定できます。これは待機しないことを意味し、消費時間は3秒です。この値は攻撃の規模に基づいて変更できます。

Microsoft Site Securityは2として推奨されています。

" TcpMaxConnectResponseRetransmissions" = dword：00000001

TCPが単一のデータセグメントを再送信する回数を設定します。デフォルト値は5で、デフォルトは240秒です。マイクロソフトサイトセキュリティの推奨事項は3です。

" TcpMaxDataRetransmissions" = dword：00000003
< P> syn攻撃保護のためのクリティカルポイントを設定します。利用可能なバックログが0になるとき、このパラメータはsn攻撃保護の開始を制御するのに使用されていますマイクロソフトのサイトセキュリティ推奨は5です。

" TCPMaxPortsExhausted" = dword：00000005

IPソースルーティングを無効にします。デフォルト値が1の場合、ソースルートパケットは転送されませんエントリの値が0の場合、すべての転送が実行されることを意味します値が2に設定される場合、すべての受け入れられた

ソースルーティングパケットは破棄されます。

" DisableIPSourceRouting" = dword：0000002

TIME_WAIT状態の最大時間を制限します。デフォルトは240秒、最小値は30秒​​、最大値は300秒です。 30秒に設定することをお勧めします。

" TcpTimedWaitDelay" = dword：0000001e

8. * mdbファイルがダウンロードされないようにするにはどうすればよいですか？

ms発行のurlscanツールをインストールすると、基本的にこの問題を解決できます。 。

同時に強力なセキュリティツールでもあるので、msのWebサイトからより詳細な情報を得ることができます。

9. iisの最低NTFSパーミッションを実行するにはどうすればよいですか？

次の作業を順番に実行します。

a。ハードディスク全体を選択します。

システム：完了Control

管理者：フルコントロール

（親からの継承許可をオブジェクトに伝達することを許可します）

。\\ program files \\ common files：

全員：読み取りおよび実行

リストファイルディレクトリ

読み取り

（親からの継承許可がオブジェクトに伝播することを可能にします）

c。\\ inetpub \\ wwwroot：

iusr_machine：読み取りと実行

リストファイルのディレクトリ

読み取り

（親から許可）継承可能な権限はオブジェクトに伝達されます。

e。\\ winnt \\ system32：

inetsrvとcentsrv以外のすべてのディレクトリを選択します。

「親からの許可」を削除します。継承可能な権限は、オブジェクトのチェックボックスに伝達されてコピーされます。

f。\\ winnt：

ダウンロードしたプログラムファイル、ヘルプ、一時圧縮ファイルを除くすべてを選択します。

オフラインWebページ、system32、タスク、一時、Webディレクトリ

「親からの継承可能なアクセス許可をオブジェクトに伝達することを許可する」チェックボックスをオフにしてコピーします。

g。\\ winnt：

全員：読み取りと実行

リストファイルのディレクトリ

読み取り

（許可）親からの継承許可はオブジェクトに伝達されます。

h。\\ winnt \\ temp：（データベースへのアクセスを許可し、aspページに表示します）

everyone：modify

10.どのようにしてiisバージョンを隠すことができますか？

ハッカーはあなたのWebポートにtelnetしてgetコマンドを送ることが簡単にできます。次のように多くの情報を入手してください。

iisは対応するIIS BANNERのdllファイルを保存しています。

WEB：C：\\ WINNT \\ SYSTEM32 \\ INETSRV \\ W3SVC.DLL

FTP：C ：\\ WINNT \\ SYSTEM32 \\ INETSRV \\ FTPSVC2.DLL

SMTP：C：\\ WINNT \\ SYSTEM32 \\ INETSRV \\ SMTPSVC.DLL

これらのdllファイルを変更するには、16進エディタを使用できます。 iis Microsoft-IIS /5.0などのキーワード

具体的なプロセスは以下のとおりです。

1. iis iisreset /stopを停止します。

2.％SYSTEMROOT％\\ system32を削除します。 \\ dllcacheディレクトリの下にある同じ名前のファイル

3.変更