Informe de incidentes 18 09-2013

Bogotá, Colombia Ver 4.0 04-08
GARS
INFORME DE INCIDENTE
Incidente No IM626153 Avance de Informe No FINAL
Zona de Evento BOGOTA Fecha y Hora de Evento 18-09-2013
Evento Reportado por ETB Fecha y Hora de Solución 19-09-2013
Tipo de Evento
Reporte Análisis Forense
Descripción de Evento
El día 18 de Septiembre de 2013 hacia las 09:50 AM, se reporta que el portal Web ha sido
modificado, sin que se hayan realizado maniobras sobre el mismo:
www.supernotariado.gov.co
A continuación se muestra la imagen de la evidencia en la que se observa que al abrir la página del cliente
aparece un aviso de que el sitio fue atacado:
Avances
Servicios Afectados
Superintendencia de Notariado y Registro

GARS
D
í
a
H
or
a
Descripción del Avance
1. Levantamiento de la evidencia.
Se inicia el levantamiento de la evidencia con la extracción de los siguientes datos:
- Log de acceso de los sitios atacados.
- Logs de errores de los sitios atacados.
- Información y copia de los archivos subidos al portal.
- Información y copia de los archivos modificados en el portal.
2. Análisis del caso
Se realiza la respectiva verificación de los logs de acceso para el día 18 de Septiembre, encontrando la
siguiente evidencia:
[seguridad@snrportal2 apacheSSL]$ grep POST saccess_log | grep --v ChartSBNR | grep -v 404
103.6.96.26 - - [18/Sep/2013:00:01:11 -0500] "POST /portalsnr/index.php%3foption=com_jnews
%26act=mailing%26task=view%26listid=18%26mailingid=8%26listype=1%26Itemid=999/index.php?
option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a79
81f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 400 226
103.6.96.26 - - [18/Sep/2013:00:01:14 -0500] "POST /portalsnr/index.php?
option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1"
303 -
81f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.1" 303 -
188.40.17.97 - - [18/Sep/2013:02:44:17 -0500] "POST
/portalsnr/components/com_jnews/includes/openflashchart/php-ofc-library/ofc_upload_image.php?
name=indo.php HTTP/1.1" 200 51
188.40.17.97 - - [18/Sep/2013:02:44:18 -0500] "POST
name=botol.php HTTP/1.1" 200 52
188.40.17.97 - - [18/Sep/2013:02:44:18 -0500] "POST
188.40.17.97 - - [18/Sep/2013:02:44:18 -0500] "POST
name=bokek.php HTTP/1.1" 200 52
188.40.17.97 - - [18/Sep/2013:02:44:19 -0500] "POST

GARS
110.45.146.219 - - [18/Sep/2013:02:44:35 -0500] "POST http://210.166.214.92:6667/ HTTP/1.0" 200 88
188.40.17.97 - - [18/Sep/2013:02:55:44 -0500] "POST
188.40.17.97 - - [18/Sep/2013:02:55:44 -0500] "POST
188.40.17.97 - - [18/Sep/2013:02:58:45 -0500] "POST
188.40.17.97 - - [18/Sep/2013:02:58:45 -0500] "POST
option=com_jnews&act=mailing&task=view&listid=18&mailingid=8&listype=1&am
p;Itemid=999/index.php?
303 -
303 -
option=com_jnews&act=mailing&task=view&listid=18&mailingid=8&listype=1&am
p;Itemid=999/index.php?
77.245.151.239 - - [18/Sep/2013:06:20:08 -0500] "POST
77.245.151.239 - - [18/Sep/2013:06:20:09 -0500] "POST
77.245.151.239 - - [18/Sep/2013:06:20:09 -0500] "POST
77.245.151.239 - - [18/Sep/2013:06:28:15 -0500] "POST

GARS
77.245.151.239 - - [18/Sep/2013:06:28:16 -0500] "POST
77.245.151.239 - - [18/Sep/2013:06:28:16 -0500] "POST
31.172.251.234 - - [18/Sep/2013:08:15:31 -0500] "POST /portalsnr//components//contact.php HTTP/1.1"
200 114934
81.130.21.114 - - [18/Sep/2013:08:32:26 -0500] "POST /portalsnr//components//contact.php HTTP/1.1" 200
86351
85764
60158
188.40.17.97 - - [18/Sep/2013:08:47:31 -0500] "POST
188.40.17.97 - - [18/Sep/2013:08:47:31 -0500] "POST
188.40.17.97 - - [18/Sep/2013:08:47:31 -0500] "POST
188.40.17.97 - - [18/Sep/2013:08:47:32 -0500] "POST
188.40.17.97 - - [18/Sep/2013:08:47:35 -0500] "POST
110.45.146.219 - - [18/Sep/2013:08:48:15 -0500] "POST http://210.166.214.92:6667/ HTTP/1.0" 200 88
134.3.82.219 - - [18/Sep/2013:08:56:41 -0500] "POST /supernotariado/index.php?
303 -

GARS
303 -
91.221.0.124 - - [18/Sep/2013:09:12:44 -0500] "POST
name=default.php HTTP/1.1" 200 54
118.97.212.185 - - [18/Sep/2013:09:26:38 -0500] "POST
/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/default.php HTTP/1.1" 200
475
118.97.212.185 - - [18/Sep/2013:09:30:09 -0500] "POST
/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/store.php?act=ls&d=
%2Fhtdocs%2Fportalsnr%2F&sort=0a HTTP/1.1" 200 6737
77.245.151.239 - - [18/Sep/2013:10:05:00 -0500] "POST
77.245.151.239 - - [18/Sep/2013:10:05:05 -0500] "POST
77.245.151.239 - - [18/Sep/2013:10:05:19 -0500] "POST
77.245.151.239 - - [18/Sep/2013:10:47:03 -0500] "POST
77.245.151.239 - - [18/Sep/2013:10:47:04 -0500] "POST
77.245.151.239 - - [18/Sep/2013:10:47:05 -0500] "POST
En donde se observa que se realizaron peticiones POST al servidor, que hacen referencia a un archivo
llamado con extensión .php.
Al realizar la resolución de la URL:
https://surpenotariado.gov.co/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-

GARS
images/default.php
En donde se puede observar la interfaz de un Web Shell.
Se realiza prueba subiendo un archivo de texto llamado Prueba.txt. Se realiza la resolución de la URL:
supernotariado.gov.co/portalsnr/components/com_jnews/includes/openflashchart/php-ofc-
library/ofc_upload_image.php?name=prueba.txt
En donde se observa un mensaje dando aviso que el archivo se está siendo guardando en la ruta …/tmp-
upload-images/prueba.txt, con lo cual se concluye que el atacante aprovecho una de las vulnerabilidades
de un complemento llamado ofc_upload_image.php del Open Flash Chart para crear el archivo default.php
y acceder al sitio para instalar los archivos maliciosos. Estos archivos creados a través de este

GARS
complemento quedan guardados en la ruta
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/*
A continuación se realiza la revisión de los accesos a la ruta:
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/* encontrando la
siguiente evidencia:
stat /htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/*
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/abc.php'
Size: 431 Blocks: 8 IO Block: 4096 regular file
Device: fd08h/64776dInode: 24281260 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 508/usrnotariado) Gid: ( 509/notariado)
Access: 2013-09-18 11:15:29.000000000 -0500
Modify: 2013-08-06 13:54:26.000000000 -0500
Change: 2013-08-06 13:54:26.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/admin.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-12 11:10:36.000000000 -0500
Change: 2013-09-12 11:10:36.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/aka.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-03 04:31:32.000000000 -0500
Change: 2013-09-03 04:31:32.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/a.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-13 10:52:53.000000000 -0500
Change: 2013-09-13 10:52:53.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/bokek.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-18 10:47:05.000000000 -0500
Change: 2013-09-18 10:47:05.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/botis.php'
Size: 0 Blocks: 0 IO Block: 4096 regular empty file
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-17 15:51:37.000000000 -0500
Change: 2013-09-17 15:51:37.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/botol.php'

GARS
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-18 10:47:04.000000000 -0500
Change: 2013-09-18 10:47:04.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/bot.php'
Access: 2013-09-18 11:15:29.000000000 -0500
Modify: 2013-09-17 15:46:37.000000000 -0500
Change: 2013-09-17 15:46:37.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/cal.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-16 06:42:55.000000000 -0500
Change: 2013-09-16 06:42:55.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/cams.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-17 00:00:32.000000000 -0500
Change: 2013-09-17 00:00:32.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/default.php'
Access: 2013-09-18 11:17:10.000000000 -0500
Modify: 2013-09-18 09:12:44.000000000 -0500
Change: 2013-09-18 09:12:44.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/edit.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-08-16 18:56:21.000000000 -0500
Change: 2013-08-16 18:56:21.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/
();eval(base64_decode(JHM9cGhwX3VuYW1lKCk7CmVjaG8gJzxicj4nLiRzOwoKZWNobyAnPGJyPic7Cn
Bhc3N0aHJ1KGlkKTsK));error'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-08-21 08:28:51.000000000 -0500
Change: 2013-08-21 08:28:51.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/home.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-13 23:54:30.000000000 -0500
Change: 2013-09-13 23:54:30.000000000 -0500

GARS
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/hun2.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-08-15 03:41:41.000000000 -0500
Change: 2013-08-15 03:41:41.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/inbox.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-03 23:31:20.000000000 -0500
Change: 2013-09-03 23:31:20.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/indo.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-18 10:47:03.000000000 -0500
Change: 2013-09-18 10:47:03.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/ipays.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-15 14:23:54.000000000 -0500
Change: 2013-09-15 14:23:54.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/ip.txt'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-06 23:00:52.000000000 -0500
Change: 2013-09-06 23:00:52.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/kliverz.php'
Access: 2013-09-18 11:15:29.000000000 -0500
Modify: 2013-09-17 18:12:34.000000000 -0500
Change: 2013-09-17 18:12:34.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/load.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-06 22:59:10.000000000 -0500
Change: 2013-09-06 22:59:10.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/localhost.php'
Access: 2013-09-18 11:15:29.000000000 -0500

GARS
Modify: 2013-09-12 10:53:42.000000000 -0500
Change: 2013-09-12 10:53:42.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/menu.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-18 09:26:40.000000000 -0500
Change: 2013-09-18 09:26:40.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/own.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-04 00:22:10.000000000 -0500
Change: 2013-09-04 00:22:10.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/pass.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-16 14:31:33.000000000 -0500
Change: 2013-09-16 14:31:33.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/php.ini'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-08-13 15:47:48.000000000 -0500
Change: 2013-08-13 15:48:08.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/pload.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-15 14:09:22.000000000 -0500
Change: 2013-09-15 14:09:22.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/proc.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-06 23:00:52.000000000 -0500
Change: 2013-09-06 23:00:52.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/prueba.txt'
Access: 2013-09-18 11:25:08.000000000 -0500
Modify: 2013-09-18 11:25:08.000000000 -0500
Change: 2013-09-18 11:25:08.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/Prueba.txt'

GARS
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-18 10:51:13.000000000 -0500
Change: 2013-09-18 10:51:13.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/readme.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-08-27 23:53:37.000000000 -0500
Change: 2013-08-27 23:53:37.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/shell.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-17 15:43:36.000000000 -0500
Change: 2013-09-17 15:43:36.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/store.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-07 09:04:09.000000000 -0500
Change: 2013-09-07 09:04:09.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/tux.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-08-13 15:43:39.000000000 -0500
Change: 2013-08-13 15:43:39.000000000 -0500
File: `/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/wp-app.php'
Access: 2013-09-18 11:15:30.000000000 -0500
Modify: 2013-09-13 10:53:09.000000000 -0500
Change: 2013-09-13 10:53:09.000000000 -0500
En donde se observa que en esta carpeta se están guardando los archivos que a través del webshell y de
la vulnerabilidad del Open Flash Chart se están subiendo al sitio. Como se evidencia, los archivos
default.php y prueba.txt se encuentran en esta carpeta.
De igual manera se realizó la búsqueda de los últimos archivos modificados en el sitio del cliente
encontrando las siguientes referencias:
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/kliverz.php
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/bot.php
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/indo.php
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/shell.php
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/menu.php
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/bokek.php
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/botis.php

GARS
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/botol.php
/htdocs/portalsnr/components/com_jnews/includes/openflashchart/tmp-upload-images/default.php
3. Resultados y conclusiones
A partir de la investigación se encontró que la modificación de los archivos fue posible a través de una
vulnerabilidad de un complemento llamado Open Flash Chart, con el cual se procedió a crear un archivo
que permitió el ingreso al sitio y por ende que el atacante haya podido subir archivos maliciosos a este.
El complemento Open Flash Chart se encuentra instalado por solicitud de SNR y dando cumplimiento a lo
requerido por los manuales de GEL en cuanto a información continúa hacia los ciudadanos
De acuerdo a las validaciones realizadas y ya que se cuenta con la última versión del complemento Open
Flash Chart, se realizo el bloqueo de este subsanando la vulnerabilidad presentada y se procede a realizar
la búsqueda de un parche de seguridad que blinde a dicho componente.
Se recomienda a SNR la implementación de un control de acceso y subida de información al portal web
por parte de sus Gestores con el fin de contar con un histórico de todos estos archivos permitiendo con
esto la instalación de un software antivirus, (se realizaron pruebas con el antivirus ClamAV logrando la
detección y erradicación de archivos maliciosos), el cual escaneara cada hora los archivos creados en esta
para que en caso de explotarse una vulnerabilidad y que el atacante suba un archivo malicioso al servidor,
este pueda ser detectado y notificado, y de esta manera se puedan tomar acciones de manera inmediata.
1. ANEXO 1. INFORMACIÓN DE LAS DIRECCIONES IP RELACIONADAS CON EL ATAQUE
118.97.212.185
% APNIC found the following authoritative answer from: whois.apnic.net
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '118.97.208.0 - 118.97.223.255'
inetnum: 118.97.208.0 - 118.97.223.255
netname: TLKM_NAS_AST_CUSTOMER
country: ID
descr: PT TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jl. Kebonsirih No.12
descr: JAKARTA
admin-c: AR165-AP

GARS
tech-c: HM444-AP
status: ASSIGNED NON-PORTABLE
mnt-by: MAINT-TELKOMNET
mnt-irt: IRT-IDTELKOM-ID
changed: hostmaster@telkom.net.id 20101202
source: APNIC
irt: IRT-IDTELKOM-ID
address: PT. TELKOM INDONESIA
address: Menara Multimedia Lt. 7
address: Jl. Kebon sirih No.12
address: JAKARTA
e-mail: abuse@telkom.net.id
abuse-mailbox: abuse@telkom.net.id
admin-c: DF99-AP
tech-c: AR165-AP
changed: abuse@telkom.net.id 20120420
changed: hm-changed@apnic.net 20120420
source: APNIC
role: PT Telkom Indonesia APNIC Resources Management
address: Jl. Kebonsirih No.12
address: JAKARTA
country: ID
phone: +62-21-3860500
fax-no: +62-21-3861215

GARS
e-mail: ip-admin@telkom.net.id
admin-c: HM444-AP
tech-c: HM444-AP
nic-hdl: AR165-AP
notify: hostmaster@telkom.net.id
source: APNIC
person: PT Telkom Indonesia Hostmaster
nic-hdl: HM444-AP
e-mail: hostmaster@telkom.net.id
address: Jl. Kebonsirih No.12
address: JAKARTA
phone: +62-21-3860500
fax-no: +62-21-3861215
country: ID
notify: hostmaster@telkom.net.id
source: APNIC
% Information related to '118.97.208.0/20AS17974'
route: 118.97.208.0/20
descr: PT. TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jln. Kebonsirih No.12

GARS
descr: JAKARTA
country: ID
origin: AS17974
source: APNIC
% This query was served by the APNIC Whois Service version 1.68 (UNDEFINED)
77.245.151.239
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
inetnum: 77.245.144.0 - 77.245.159.255
netname: TR-NIOBE-20070427
descr: Niobe Bilisim Teknolojileri Yazilim San. Tic. Ltd. Sti.
country: US
org: ORG-NB14-RIPE
admin-c: CY77-RIPE
tech-c: FB3777-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: NIOBE-MNT
mnt-routes: NIOBE-MNT
source: RIPE #Filtered
organisation: ORG-NB14-RIPE
org-name: Niobe Bilisim Teknolojileri Yazilim San. Tic. Ltd. Sti.
org-type: LIR
phone: +13022950953

GARS
fax-no: +13022950953
admin-c: CY77-RIPE
admin-c: FB3777-RIPE
mnt-ref: NIOBE-MNT
mnt-ref: RIPE-NCC-HM-MNT
address: Niobe Hosting LLC
address: Fatih BIBEROGLU
address: 501 Silverside Road ste 105
address: 19809 Wilmington DE
address: UNITED STATES
person: Cuneyt Yagiz
org: ORG-NB14-RIPE
address: 501 Silverside Road ste 105
address: Wilmington DE 19809
address: USA
mnt-by: NIOBE-MNT
phone: +1-3022950953
remarks: ###################################
remarks: Abuse & intrusion reports should
remarks: be sent to: abuse@nw.com.tr
remarks: ###################################
nic-hdl: CY77-RIPE
person: Fatih BIBEROGLU
org: ORG-NB14-RIPE
address: 501 Silverside Rd Ste 105
address: Wilmington DE 19809 USA
mnt-by: NIOBE-MNT
phone: +1 302-2950953
remarks: ###################################
remarks: Abuse and intrusion reports should
remarks: be sent to: abuse@nw.com.tr
remarks: ###################################
nic-hdl: FB3777-RIPE
route: 77.245.144.0/20
descr: CMBM
origin: AS42868
mnt-by: NIOBE-MNT

GARS
% This query was served by the RIPE Database Query Service version 1.68.1 (WHOIS3)
91.221.0.124
%
inetnum: 91.221.0.0 - 91.221.1.255
netname: E-MORDOVIA
descr: SUE of RM "SPC of Informatization and New Technologies"
country: RU
org: ORG-SIaN1-RIPE
admin-c: AI1814-RIPE
tech-c: AI1814-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: MNT-INTRM
mnt-routes: MNT-INTRM
mnt-domains: MNT-INTRM
organisation: ORG-SIaN1-RIPE
org-name: SUE of RM "SPC of Informatization and New Technologies"
org-type: OTHER
address: Communist str. 13
address: Saransk, 430000, Russia
mnt-ref: MNT-INTRM
mnt-by: MNT-INTRM

GARS
person: Alexander Ilyin
address: Communist str. 33
address: Saransk, Russia
phone: +7 8342 242276
nic-hdl: AI1814-RIPE
route: 91.221.0.0/23
descr: route object
origin: AS51635
mnt-by: MNT-INTRM
188.40.17.97
%
% Abuse contact for '188.40.17.97 - 188.40.17.97' is 'abuse@hetzner.de'
inetnum: 188.40.17.97 - 188.40.17.97
netname: GOBIT-SRL
descr: Gobit S.r.l.
country: DE
admin-c: EP4807-RIPE
tech-c: EP4807-RIPE
status: ASSIGNED PA
mnt-by: HOS-GUN

GARS
person: Enrica Paoletti
address: Gobit S.r.l.
address: V.le Lombardia n.30
address: 53042 Chianciano Terme (Siena)
address: ITALY
phone: +39057863007
fax-no: +39057863007
nic-hdl: EP4807-RIPE
mnt-by: HOS-GUN
route: 188.40.0.0/16
descr: HETZNER-RZ-FKS-BLK1
origin: AS24940
org: ORG-HOA1-RIPE
mnt-by: HOS-GUN
organisation: ORG-HOA1-RIPE
org-name: Hetzner Online AG
org-type: LIR
address: Hetzner Online AG
address: Attn. Martin Hetzner
address: Stuttgarter Str. 1
address: 91710
address: Gunzenhausen
address: GERMANY
phone: +49 9831 610061
fax-no: +49 9831 610062
admin-c: TF2013-RIPE
admin-c: MF1400-RIPE
admin-c: GM834-RIPE
admin-c: HOAC1-RIPE
admin-c: MH375-RIPE
admin-c: SK8441-RIPE
admin-c: SK2374-RIPE
mnt-ref: HOS-GUN
mnt-ref: RIPE-NCC-HM-MNT
abuse-c: HOAC1-RIPE

GARS
Se realizaron depuraciones debido a los bloqueos y encolamiento generado por los procesos mencionados, luego de esto
fue necesario realizar labores adicionales sobre el nodo 2 con el fin de solucionar el inconveniente presentado y que no
permitía recibir sesiones de la aplicaciones, luego de ser solucionado el aplicativo funciono correctamente.
ACCIONES DE MEJORA
Es necesario realizar pruebas en ambiente controlado con el soporte de los fabricantes ya que se detecto que al
presentarse un evento sobre alguno de los tres nodos de Base de Datos que impacte su funcionamiento normal se
presenta desconexión total de la aplicación presentándose afectación total del servicio, lo cual no es un comportamiento
normal ya que se cuenta con un RAC de Oracle.
Estado Actual: Resuelto
Evento Atendido por: ETB - INTEK
VoBo Ingeniero: Luis E. Muñoz.
Disponibilidad:
En la Cultura ETB, ¡Entendemos las necesidades de nuestros clientes y les ofrecemos soluciones integrales,
buscando relaciones de largo plazo!

Informe de incidentes 18 09-2013

Recomendados

Recomendados

Más contenido relacionado

Similar a Informe de incidentes 18 09-2013

Similar a Informe de incidentes 18 09-2013 (20)

Más de Johana201225

Más de Johana201225 (20)

Informe de incidentes 18 09-2013