E’ possibile che installando DotDefender si ottenga l’errore : An error occured. Action: get_update_best_practice_rules_configuration Exception: Invalid Response, come da immagine allegata :
in questo caso è NECESSARIO controllare che sul server non sia installato URLSCAN, perchè se lo fosse non deve bloccare . EXE di DotDefender
2014-01-13 12:16:16 1 POST /dotdefender/dotDefenderWS.exe Rejected extension+not+allowed file+extension .exe –
[catlist id=147]Se non si ha intenzione di utilizzare script che lavorano con i file (salva, elimina, ecc.) è sempre consigliabile DISABILITARE la funzione ASP “File System Object component” in quanto può essere utilizzata anche per causare DANNI a un server.
Per disabilitare questa opzione, utilizzare la chiave di registro
RegSrv32 / u C: WINDOWS systemscrrun.dll
Sarebbe buona norma “disabilitare” questa funzione prima di mettere il server a disposizione di eventuali clienti (in caso di HOSTING) altrimenti dopo potrebbe essere difficile “togliere” questa possibilità, specialmente quando il cliente ha un sito “fatto” e dovrà optare per delle modifiche.
Attenzione : File System Object component non riguarda ASP.NET
Modificando alcune informazioni sul server, per l’esecuzione di SYNC tra IIS6 e IIS7 devo inavvertitamente aver “modificato qualcosa” ….e la mia macchina Windows Server 2008 a 64-bit improvvisamente non era più in grado di avviare IIS (Internet Information Server). Il servizio semplicemente non partiva. Ho cominciato a ricevere questo errore :
“Impossibile avviare il servizio W3SVC sul computer”
(Cannot start service W3SVC on Computer)
Controllando il Registro eventi di sistema, tramite il Visualizzatore eventi in Gestione computer, ho trovato quattro errori:
Se IIS non parte …c’è da pensare a qualche servizio di dipendenza e uno è WAS (servizio Attivazione processo Windows…) che non si avvia, ma deve essere attivato per primo.Se si va a anlizzare il servizio WAS si vede che….non è proprio un eseguibile, ma vive all’interno di un’istanza di svchost.exe, (dove ci sono un sacco di servizi!)
Per risolvere questo problema ho utilizzato Process Monitor assieme a dei filtri (filtri sono molto importanti se si vuole evitare di essere sopraffatti rapidamente dal log di procmon!) per mostrare solo i processi svchost.exe. Ancora oggi, ci sono un sacco di processi svchost.exe . Il tasto di scelta rapida per interrompere l’acquisizione in procmon.exe è Ctrl-E. Fondamentalmente si “pulisce” lo schermo, si preme Ctrl-E per catturare e avvio il servizio WAS. Quando quest’ultimo si ferma,blocco la cattura di arresto con Ctrl-E. A questoo punto trovo percorsi che contengono “temp”, “log”, “config” o “app” in Process Monitor come si vede nello screenshot seguito.
Sembra che il servizio si aspetta una chiamata cartella c:inetpub tempAppPools e sul mio server questa directory non c’è. Ho creato la cartella, ho ri-attivato o WAS e successivamente IIS è tornato funzionale
E’ possibile che per qualche necessità si debba “rimappare” un estensione (es .php) a tutti i siti web presenti su IIS.
Per fare questo si può utilizzare un VBS ( scriptmap.vbs ) scaricabile QUI > Aggiunge uno Script Mapping
La sintassi di funzionamento è la seguente :
(supponiamo che il nostro sito web abbia ID 17120 )
RIMUOVE L’ESTENSIONE > cscript scriptmap.vbs -n 17120 -d .php
ASSEGNA L’ESTENSIONE > scriptmap.vbs -n 17120 -a .php,C:\PHP5.1.1\php-cgi.exe,0,HEAD,POST,TRACE,DEBUG,GET
il parametro -D rimuove, mentro quello -A aggiunge la “riga” che appare dopo.
Ovviamente in caso di molti siti web bisogna prima RIMUOVERE TUTTO :
cscript scriptmap.vbs -n 17120 -d .php
cscript scriptmap.vbs -n 17121 -d .php
cscript scriptmap.vbs -n 17122 -d .php
….
e poi RI-ASSEGNARE TUTTO :
scriptmap.vbs -n 17120 -a .php,C:\PHP5.1.1\php-cgi.exe,0,HEAD,POST,TRACE,DEBUG,GET
scriptmap.vbs -n 17121 -a .php,C:\PHP5.1.1\php-cgi.exe,0,HEAD,POST,TRACE,DEBUG,GET
scriptmap.vbs -n 17122 -a .php,C:\PHP5.1.1\php-cgi.exe,0,HEAD,POST,TRACE,DEBUG,GET
e si può ben capire che per farlo….servono tutti gli ID dei siti contenuti sul server.
Questo TOOLS : Rileva Tutti gli ID
esegue un ciclo che rileva tutti gli ID e li mette in un file di TESTO
In caso di ricezione di questo errore :
Windows could not start the IIS Admin Service on Local Computer. For more information, review the System Event Log. If this is a nin-microsoft service, contact the service vendor, and refer to service-specific error code -2145318902.
è necessario fare attenzione al file del Metabase.xml perchè, al 90% dei casi, il file è stato corrotto.
Non è possibile “trasportare” questo file da un server all’altro e, per mia esperienza, non è possibile effettuare un “edit” manuale del file (magari facendo grandi replace, ecc.).
Se si riceve questo errore, la soluzione più immediata è recuperare un BACKUP di Metabase.xml
Se non si dispone di un backup di Metabase.xml …. potrebbe essere un bel problema.
Si può “tentare” di ripulire manualmente il file corrotto (es. Screenshot) ma non è detto di risolvere il problema.
Per trovare gli “errori” è necessario fare riferimento al registro di sistema :
Su scheduled TASK (di Windows Xp o Windows 2003) è possibile ricevere questo messaggio di errore :
“General page initialization failed. The specific error is 0x80090016: Keyset does not exist…An error has occurred attempting to retrieve task information. You may continue editing the task object, but will be unable to change task account information.”
Per risolvere il problema, procedere a questo modo :
Passo 1:
Controllare il Servizio Protected Storage e verificare che lo stato sia AVVIATO.
1. Fare clic su Start.
2. Scegliere Esegui.
3. Nella casella Esegui, digitare services.msc.
4. Fare clic su OK.
5. Trova il servizio Archiviazione protetta (Protected Storage) , e fare clic destro per selezionarlo.
6. Selezionare Proprietà.
7. Nell’elenco Tipo di avvio, selezionare Automatico.
8. Verificare lo stato del servizio (che sia avviato!)
9. Fare clic su OK.
Passo 2:
Eliminare 1 file in modalità provvisoria
1. Riavviare il computer.
2. Tenere premuto il tasto F8 fino a quando il di Windows viene visualizzato il menu di avvio.
3. Scegliere Modalità provvisoria, quindi premere Invio.
4. Avviare il computer in modalità provvisoria.
5. Fare doppio clic su Risorse del computer e quindi scegliere Opzioni cartella dal menu Strumenti.
6. Nella scheda Visualizza, selezionare Visualizza cartelle e file nascosti, quindi fare clic su OK.
7. Eliminare tutti i file nella cartella “C: Documents and Settings All Users Dati applicazioni Microsoft Crypto RSA S-1-5-18”.
Nella Cartella c’era solo un FILE
8. Riavviare il computer e quindi eseguire il task scheduler.
9. . Immettere nuovamente la password per l’utente che esegue ogni lavoro
(“clic destro” -> Esegui ora esegue il lavoro e ora gestito anche come pianificato.)
NOTA : ammetto che sono riuscito a fare questo Passo2 anche in MODALITA’ normale (non provvisoria)
Se in fase di programmazione riscontriamo un errore (Asp Classic) e il Server Windows 2008 non è impostato per una visualizzazione dettagliata, otterremo semplicemente questo errore:
Se abbiamo disponibilità di mettere mano alla consolle di IIS, possiamo MODIFICARE la gestione personalizzata dell’errore come descritto qui:
ma se non abbiamo modo di intervenire sul server e abbiamo solo un collegamento FTP…..come fare?
E’ sufficiente scrivere un file di nome web.config con la seguente sintassi:
<?xml version=”1.0″ encoding=”UTF-8″?>
<configuration>
<system.webServer>
<httpErrors errorMode=”Detailed” />
</system.webServer>
</configuration>
E’ importante mettere in sicurezza PHP (php.ini) su Web Server Windows.
Le funzionalità di PHP potrebbero divenire anche un potenziale rischio di sicurezza perché i dati sono ricevuti ed elaborati da ovunque su Internet. Gli aggressori possono tentare di inviare script dannosi che verrebbero eseguiti sul server. Gli aggressori possono anche tentare di leggere e scrivere file sul server per prendere il controllo del sito Web e usarlo per i propri scopi.
È possibile configurare le impostazioni PHP per rafforzare la sicurezza e proteggere il sito da attacchi. Il file php.ini specifica le impostazioni di configurazione e determina quali sono gli script PHP consentiti, le cose da “fare” e ciò che per lo script è vietato fare.
allow_url_fopen = Off
allow_url_include = Off
Disabilitare URL remoti (che possono provocare vulnerabilità di iniezione di codice) per le funzioni di gestione dei file.
Questa impostazione è molto importante perché impedisce che un URL venga utilizzato in sintassi come include (). Impostazione allow_url_fopen “Off” significa che solo i file che risiedono all’interno del sito Web possono essere inclusi, non è possibile includere un file da un server diverso. (In un attacco RFI, qualcuno incorpora un URL in una richiesta HTTP sperando che lo script sia ingannato in esecuzione) Un comando come include (“https://website.com/page.php”), per esempio, non potrà essere eseguito
register_globals = Off
Disattivare register_globals.
open_basedir = “c:inetpub”
Limitare dove i processi PHP possono leggere e scrivere su un file system.
safe_mode = Off
safe_mode_gid = Off
Attivare la modalità safe_mode.
Questa impostazione non è nel file “consigliato Php.ini”. Limita le autorizzazioni con le quali alcuni script PHP vengono eseguiti. Alcuni script di terze parti non funzionano correttamente quando safe_mode è impostato su “On”, quindi alcuni clienti vi romperanno le…..Con PHP 6 safe_mode non esisterà.
max_execution_time = 30
max_input_time = 60
Limitare il tempo di esecuzione dello script.
memory_limit = 16M
upload_max_filesize = 2M
post_max_size = 8M
max_input_nesting_levels = 64
Limitare l’utilizzo della memoria e le dimensioni dei file.
display_errors = Off
log_errors = On
error_log = “C: percorso del vostra scelta”
Configurare messaggi di errore e la registrazione.
Queste impostazioni specificano che tutti gli errori e gli avvisi vengono registrati nel file di testo e specificano che non saranno mostrati. Gli errori non dovrebbero essere visualizzati pubblicamente, perché possono aiutare a capire come attaccare il vostro server. Controllare sempre il registro di errore (o il file di LOG) quando si sta testando un nuovo codice.
disable_functions=exec,passthru,shell_exec,system,proc_open,popen
oppure (più cattiva!) disable_functions =exec,passthru,shell_exec,system,proc_open, popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
personalmente consiglio di BLOCCARE anche questo tipo di comandi.
Siete passati a Windows 8 ma sentite la mancanza del vecchio “START MENU” ?
Personalmente consiglio “Classic SHELL”. ( http://www.classicshell.net/ ) è un’utility a dir poco fantastica che non solo ripristina il vecchio Start Button (addio interfaccia metro…almeno per me!!) ma permette anche di impostarlo come volete. Siete dei malinconici di Windows XP?? Allora potete impostare il vecchio Start Menu in Windows Xp Style! Personalmente questa barra ha risolto il mio unico problema che avevo con Windows 8!!
Adesso è una meraviglia!
Una delle poche ISAPI da acquistare che personalmente “consiglio” è IIS Tracer.
IISTracer è uno strumento di monitoraggio per ogni sito web in tempo reale, per Microsoft IIS (tutte le versioni). Il software consente di visualizzare ciò che sta accadendo sul server IIS, nel preciso momento in cui viene utilizzato. È possibile vedere e anche registrare lo stato di ogni richiesta : incoming / byte in uscita, http header e tempi di esecuzione.
IISTracer mostra lo stato di esecuzione di script (. asp,. aspx, asp.net,. CFM,. php,. cgi, …), applicazioni (. dll,. exe, ..) e un download (. mp3,. zip, …).
Consente inoltre di monitorare altre features, tra cui i TEMPI di “durata/attività” di una pagina
È inoltre possibile interrompere lunghe le richieste di funzionamento (uploads / downloads).
Un Esempio di funzionamento?
Supponiamo di avere un sito web con una pagina GUESTBOOK. Il modulo di Inserimento nel GuestBook non è stato protetto da Captcha.
La pagina è “bombardata ” da centinaia di BOT e adesso la sua esecuzione (considerando che scrive 10 guestbook al secondo) è diventata lentissima a livello di ISAPI per il WebServer.
IIS tracer può aiutare a identificare questa pagina.
Il presente sito non è collegato in alcun modo, direttamente o indirettamente, alle Fonti delle notizie segnalate né può essere ritenuto responsabile ad alcun titolo dei loro contenuti. Si precisa altresì che le notizie segnalate dall’aggregatore NON sono da intendersi in alcun modo di proprietà del sito GenSys.it, ad eccezione degli articoli e dei documenti pubblicati nel blog.
Contact us: info@gensys.it
© Copyright 2022 - Serverbay.it - Eteon.it
