音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

AVVIDネットワークにおける Code Red II の緊急障害復旧の手順

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2006 年 1 月 10 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、蔓延している Code Red II の感染のために生じる Cisco CallManager の症状のほとんどを緊急に排除する手順について説明します。同時に、将来において同様の問題から AVVID ネットワークを保護するための当面の解決策や長期にわたる解決策についても説明します。

前提条件

要件

このドキュメントの読者は次のトピックについて理解している必要があります。

  • Cisco CallManager の管理

  • 緊急的な障害回復手順

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco CallManager 3.x

  • Microsoft Windows 2000

  • Cisco Unity のすべてのバージョン

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

即時の処置

次の手順を実行します。

  1. 最新の win-OS-upgrade(Cisco.com にある対応する CallManager のバージョンのダウンロード ページの暗号化セクションから入手可能)を、Windows 2000 が稼動しているすべての IP Telephony Server 上で実行します。さらに、適切な修復ユーティリティ(Microsoft からツールが公開)の実行と、Code Red II によって作成されたバックドアの手作業での(McAfee で公開)閉鎖のいずれか、あるいは両方を実行します。 NT4.0 IIS が稼動している IP Telephony Server の場合は、Service Pack 6a をインストールして、次に Code Red fix を実行します。

    注意 注意: 注意:このワームはバックドアを作成します。そのため、サーバがインターネットに直接接続されていて、侵入を受けている間に何者かによってさらに多数のバックドアが作成された可能性がある場合や、現在のネットワーク内からサーバがさらに侵入を受けている可能性がある場合には、データをバックアップして、サーバを最初から再インストールすることが最も安全な対策になります。

  2. IIS Admin Service と World Wide Web Publishing サービスをすべての Cisco CallManager 登録者に対して停止およびディセーブルにします。また、このサービスが必要でない全サーバに対しても行います。 これらのサービスは、Cisco CallManager Publisher 上ではアクティブのままにしておく必要があります。

    この作業を実行するには、次の手順を従ってください。

    1. 始動 Start > Programs > Administrative Tools > Services の順に進むことによるサービス アプレット。

    2. IIS Admin Service を右クリックして、Stop を選択します。 これによって、World Wide Web Publishing サービスも停止します。

    3. IIS Admin Service を右クリックして、Properties を選択します。 Startup Type を Disable に変更して、ウィンドウを閉じます。

    4. World Wide Web Publishing を右クリックして、Properties を選択します。 Startup Type を Disable に変更して、ウィンドウを閉じます。

  3. ネットワーク上の既知のすべての IIS サーバにパッチを適用するか、修復します。

  4. 更新された電話ロードを導入します。

    • Cisco CallManager 3.0x のシステムの場合は、ciscocm_3-0-11_spA.exe を Cisco.com からダウンロードします。 CCMAdmin ページから System > Device Defaults に行き、P003E310 に 7940/7960 デバイス ロードを設定 して下さい。 [Update] をクリックします。

    • Cisco CallManager 3.1x のシステムの場合は、ciscocm_3-1-1_spA.exe を Cisco.com からダウンロードします。 CCMAdmin ページから System > Device Defaults に行き、P00303010100 に 7940/7960 デバイス ロードを設定 して下さい。 [Update] をクリックします。

    • 両方の Cisco CallManager 3.0 および 3.1 のために、システム > CallManagerグループに行って下さい。 左側にある最初のグループを選択して、Reset Devices をクリックして、プロンプトが表示されたら OK を選択します。 この作業を電話で構成されている各 Cisco CallManager グループに対して繰り返し、新しいロードを入手できるようにします。

    • Cisco CallManager 3.2x および 3.3x のシステムでは、必要な修復すべてが含まれているため、更新された電話ロードを必要としません。

  5. ネットワーク上のその他の感染 IIS サーバを特定して対処します。ネットワーク上に被害を受けた IIS サーバがいくつあるかによって、当面の解決策に進みやすくなります。 次に 2 つの方法を示します。

    • Cisco CallManager Publishing サーバか、ロギングがイネーブルになっている他の IIS サーバで、c:\winnt\system32\logfiles\w3svc1 に移動して最新のログ ファイルにアクセスします。 これらのファイルの命名規則は、ex000000.log となっています。

      次のような行を探します。

      2001-08-09 00:11:57 172.20.148.189 - 172.20.225.130 80 GET /default.ida
      XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      XX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%
      u6858%ucbd3%u7801%u9090%u9090%u8190%u 00c3%u0003%u8b00%u531b%
      u53ff%u0078%u0000%u00=a200 -

      この場合、IP アドレスは 172.20.148.189 は、攻撃しているサーバです。 これを探してパッチを適用するかワームを除去します。あるいは、ネットワークから切り離します。

      Code Red に感染したすべてのサーバが判明して対応が終わるまで、この操作を繰り返します。

    • もう一つの方式は- CodeRedScanner eEye から利用可能 な 無料 の ユーティリティをleavingcisco.com 使用することです。 このユーティリティは .ida によって基づく攻撃に脆弱 な 感染したマシンおよびマシンを探す 1 つのクラス C を一度にスキャンします。 eEye に追加料金のために利用可能 な クラス B スキャナーがあります。

短期的なソリューション

長期ソリューション

即時緊急事態が終わったら、SAFE を参照して下さい: 詳細な IPテレフォニーセキュリティ。 このドキュメントには、安全な IP 電話ネットワークの設計と実装に関心のある読者向けに、ベストプラクティスとなる情報が記載されています。


関連情報


Document ID: 5200