Pessoal,
Existem scripts na Internet sem asp, asp.net e php que conseguem navegar em servidores com IIS. Eles conseguem fazer isso, pois o Application Pool roda com um nível alto e/ou permissões mal aplicadas. Sempre procure criar um usuário para o seu site rodar embaixo dele, e libere esse usuário somente no diretório do site e não no servidor todo.
O próximo passo é melhorar a segurança do Application Pool com os passos abaixo:
1 – Crie um usuário.
2 – Adicionar o usuário ao grupo IIS_WPG e remover de Users.
3 – Adicionar o grupo de usuário IIS_WPG ao diretório c:\inetpub\wwwroot de Read, Read & Execute e List Folder Contents
4 – Proibir o usuário criado no diretório c:\windows\system32\inetsrv.
5 – Adicionar o usuário criado no SMTP do IIS.
Isso deve dificultar bastante o Hacker. Eu já utilizei esses scripts e não consegui ter acesso a máquina.