Голосовая связь и система унифицированных коммуникаций : Cisco Unified Communications Manager (CallManager)

Критические процедуры восстановления после отказа Code Red II для сети AVVID

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает процедуры немедленного устранения большинства побочных эффектов в Cisco CallManager из-за широкого распространения инфицирования червем Code Red II, а также краткосрочные и долгосрочные решения по улучшенной защите сети AVVID от подобных проблем в будущем.

Предварительные условия

Требования

Для использования данного документа требуется знание следующих тем:

  • Администрирование Cisco CallManager

  • Процедура восстановления после отказа

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco CallManager 3.x

  • Microsoft Windows 2000

  • Все версии Cisco Unity

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Немедленные действия

Выполните следующие действия:

  1. Выполните последнее ОБНОВЛЕНИЕ ОПЕРАЦИОННОЙ СИСТЕМЫ ПОБЕДЫ (доступный в крипто-разделе соответствующей страницы разгрузки Версии CallManager на CCO) на всех Серверах IP-телефонии, выполняющих Windows 2000, и выполните соответствующую служебную программу восстановления (Microsoft имеет программное средство в наличии), и/или вручную (доступный от McAfee) закрывают черные ходы, созданные ILS Code Red. Для серверов IP-телефонии, использующих NT4.0 IIS, установите пакет обновления 6a, а затем исправление для червя Code Red.

    caution Внимание.  : Поскольку этот "червь" создает в системе уязвимости типа backdoor, если сервер был напрямую к Интернету и кто-то в это время создал на нем дополнительные уязвимости, или если существует вероятность заражения сервера изнутри сети, то разумнее всего создать резервную копию данных и переустановить сервер с самого начала.

  2. Остановите и отключите Сервис Admin IIS и Сервис веб-публикации на всех абонентах Сisco CallManager и любой сервер, который не требует их. Эти службы должны оставаться активными на издательском сервере Cisco CallManager.

    Для выполнения этой задачи выполните следующие действия:

    1. Переведите апплет сервисов в рабочее состояние, переходя к Пуску> Программы> Средства администрирования> Сервисы.

    2. Выполните щелчок правой кнопкой мыши по пункту IIS Admin Service и выберите Stop. Это также останавливает Сервис веб-публикации.

    3. Щелкните правой кнопкой мыши Сервис Admin IIS и выберите Properties. Измените значение параметра Startup Type (Тип запуска) на Disable (Отключено) и закройте окно.

    4. Щелкните правой кнопкой мыши Публикацию Всемирной паутины и выберите Properties. Измените значение параметра Startup Type (Тип запуска) на Disable (Отключено) и закройте окно.

  3. Исправьте или восстановите все сетевые IIS-серверы.

  4. Выполните загрузку обновленного ПО для телефонов.

    • Для Сisco CallManager 3.0x системы, загрузите ciscocm_3-0-11_spA.exe от Cisco.com. От CCMAdmin страница переходит к System> Device Defaults и установила 7940/7960 Загрузки устройства в P003E310. Нажмите кнопку Update (Обновить).

    • Для систем Cisco CallManager 3.1x загрузите файл ciscocm_3-1-1_spA.exe с Web-сайта Cisco.com. От CCMAdmin страница переходит к System> Device Defaults и установила 7940/7960 Загрузки устройства в P00303010100. Нажмите кнопку Update (Обновить).

    • И для Сisco CallManager 3.0 и для 3.1, Перейдите к Системе> Группа CallManager. Выберите первую группу с левой стороны, затем нажмите кнопку Reset Devices и в ответ на приглашение нажмите кнопку "ОК". Выполните эти действия для каждой группы Cisco CallManager для телефонов для получения новых нагрузок.

    • Сisco CallManager 3.2x и 3.3x системы не требуют обновленной нагрузки телефона, поскольку они включают всех необходимые исправления.

  5. Определите и заботьтесь об остающихся зараженных серверах IIS в сети (это могло легко простираться в решение на ближайший период времени, в зависимости от того, сколько посторонних серверов IIS находится в сети). Здесь приведены два метода:

    • На Сервере - публикаторе Сisco CallManager или любом другом сервере IIS с logging enabled, переходят к c:\winnt\system32\logfiles\w3svc1 and access the most recent log file. Эти файлы имеют соглашение о присвоении имен ex000000.log.

      Найдите строку такого вида:

      2001-08-09 00:11:57 172.20.148.189 - 172.20.225.130 80 GET /default.ida
      XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      XX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%
      u6858%ucbd3%u7801%u9090%u9090%u8190%u 00c3%u0003%u8b00%u531b%
      u53ff%u0078%u0000%u00=a200 -

      В данном случае IP-адрес 172.20.148.189 принадлежит атакующему серверу. Найдите его и исправление или уберите его или разъедините его от сети.

      Повторяйте этот процесс до тех пор, пока все оставшиеся сервера, инфицированные червем Code Red, не будут найдены и червь не будет удален.

    • Другой метод должен использовать бесплатную служебную программу, доступную от eEye leavingcisco.com - CodeRedScanner. Эта утилита просматривает один Класс C во время, ища компьютеры пораженный вирусом и машины, уязвимые для .ida основанная атака. eEye имеет сканер Класса B в наличии для дополнительной стоимости.

Решения в краткосрочной перспективе

Долгосрочные решения

Как только непосредственная угроза закончена, обратитесь к БЕЗОПАСНОМУ: Безопасность IP - телефония Подробно. В этом документе приведены рекомендации по проектированию и внедрению безопасных сетей IP-телефонии.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения