Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Procedimentos de emergência de recuperação de desastre do Código Vermelho II para uma rede AVVID

Opções de download

  • PDF     (92.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (77.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (78.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de Fevereiro de 2006
ID do documento:5200
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento aborda os procedimentos para eliminar imediatamente a maioria dos efeitos colaterais do Cisco CallManager causados por uma infecção de Código Vermelho II generalizada, assim como as soluções de curto e longo prazo para proteger melhor uma rede AVVID contra problemas futuros relacionados à essa infecção.

Pré-requisitos

Requisitos

Os leitores deste documento devem estar cientes destes tópicos:

  • A administração do CallManager da Cisco

  • Procedimento de emergência para recuperação de desastres

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco CallManager 3.x

  • Microsoft Windows 2000

  • Todas as versões do Cisco Unity

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Ações imediatas

Conclua estes passos:

  1. Execute a vitória-OS-elevação a mais atrasada (disponível na seção cripto da página apropriada da transferência da versão do CallManager no CCO) em todos os server da Telefonia IP que executam o Windows 2000, e execute o utilitário de reparo apropriado (Microsoft tem uma ferramenta disponível) e/ou manualmente (disponível da McAfee) feche as portas traseiras criadas pelo código vermelho II. Para servidores de telefonia IP executando o NT4.0 IIS, instale o Service Pack 6a e, em seguida, a correção Code Red.

    cuidado Caution: Como este worm cria acessos para invasões, se o servidor foi diretamente conectado à Internet e alguém colocou mais acessos para invasões nele, enquanto comprometido, ou se existir a possibilidade de o servidor ser futuramente comprometido de dentro de sua rede, a ação mais segura será fazer uma cópia de segurança dos dados e reinstalar o servidor do início.

  2. Pare e desabilite o serviço IIS Admin e o Serviço de Publicação na Web em todos os assinantes do CallManager da Cisco, e o todo o server que não os exigir. Esses serviços devem permanecer ativos no Cisco CallManager Publisher.

    Para executar essa tarefa, siga estes passos:

    1. Traga acima aos serviços o applet indo ao iniciar > programas > ferramentas administrativas > serviços.

    2. Clique com o botão direito do mouse em IIS Admin Service (Serviço de Administração do IIS) e selecione Stop (Parar). Isto igualmente para o Serviço de Publicação na Web.

    3. Clicar com o botão direito o serviço IIS Admin e selecione propriedades. Altere o Startup Type para Disable e feche a janela.

    4. Clicar com o botão direito o world wide web que publica e selecione propriedades. Altere o Startup Type para Disable e feche a janela.

  3. Corrija ou repare todos os servidores IIS conhecidos na rede.

  4. A distribuição atualizou as cargas de telefone.

    • Para sistemas do Cisco CallManager 3.0X, transferência ciscocm_3-0-11_spA.exe do cisco.com. Da página do ccmadmin vá aos padrões do sistema > do dispositivo e ajuste as cargas do dispositivo de 7940/7960 ao P003E310. Clique em Update.

    • Para sistemas Cisco CallManager 3.1x, faça o download do arquivo ciscocm_3-1-1_spA.exe do site Cisco.com. Da página do ccmadmin vá aos padrões do sistema > do dispositivo e ajuste as cargas do dispositivo de 7940/7960 ao P00303010100. Clique em Update.

    • Para ambo o 3.0 e 3.1 do CallManager da Cisco, vá ao sistema > ao grupo do CallManager. Selecione o primeiro grupo no lado esquerdo e clique em Reset Devices (Reinicializar Dispositivos). Quando solicitado, clique em OK. Faça isso para cada grupo do Cisco CallManager presente nos telefones para obter novos carregamentos.

    • O Cisco CallManager 3.2x e os sistemas 3.3x não exigem uma carga actualizado do telefone, porque inclui todos os reparos necessários.

  5. Identifique e tome de servidores IIS contaminados permanecendo na rede (isto poderia facilmente esticar em uma solução de termo próximo, segundo quantos servidores IIS desonestos estão na rede). Aqui há dois métodos:

    • No servidor de publicação do CallManager da Cisco, ou em todo o outro servidor IIS com o registro permitido, vá a c:\winnt\system32\logfiles\w3svc1 e alcance o arquivo de registro o mais recente. Esses arquivos possuem uma convenção de nomeação do tipo ex000000.log.

      Procure uma linha semelhante a essa:

      2001-08-09 00:11:57 172.20.148.189 - 172.20.225.130 80 GET /default.ida
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u9090%u8190%u 00c3%u0003%u8b00%u531b%
u53ff%u0078%u0000%u00=a200 -

      Nesse caso, o endereço IP 172.20.148.189 está no servidor de ataque. Encontre o e a correção de programa ou limpe-a, ou desligue-a da rede.

      Repita este processo até que todos os servidores infectados pelo Código Vermelho sejam localizados e limpos.

    • Um outro método é usar o utilitário livre disponível do eEyeleavingcisco.com - CodeRedScanner. Esta utilidade faz a varredura de um C da classe de cada vez que procura as máquinas infectadas e as máquinas vulneráveis a um ataque baseado .ida. o eEye tem um varredor da classe B disponível para um custo adicional.

Soluções de curto prazo

Soluções de longo prazo

Uma vez que a emergência imediata se acaba, refira o COFRE FORTE: Segurança de telefonia IP detalhada. Este documento fornece informações sobre melhores práticas às partes interessadas, para o projeto e implementação de redes seguras de telefonia IP .

Informações Relacionadas

Colaborado por engenheiros da Cisco

  • jkburns
    hiho

Este documento lhe foi útil?

FeedbackFeedback

Deixe-nos ajudar

Discussões relacionadas com comunidade da Cisco

Este documento se refere a estes produtos

SOBRE A CISCO
FALE CONOSCO
TRABALHE CONOSCO