Pori.hacklab.fi sivusto häkkeröity?

Tuossa meinasin mennä meidän hacklabin sivustolle jostain kumman syystä. Sivusto ohjautuu gen.xyz palveluun.

host pori.hacklab.fi
pori.hacklab.fi has address 94.23.46.5

94.23.46.5 palvelimella NGINX ohjaa pori.hacklab.fi osoitteen pori-hacklab.xorfork.com osoitteeseen.

server {
        listen 80;
        listen [::]:80;

        server_name pori.hacklab.fi;

        client_max_body_size 1000m;

        location / {
                proxy_pass http://pori-hacklab.xorfork.com;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
        }
}

Ja se menee seuraavan osoitteeseen.

host pori-hacklab.xorfork.com
pori-hacklab.xorfork.com has address 37.187.113.214
pori-hacklab.xorfork.com has IPv6 address 2001:41d0:a:66d6::1

Siellä sitten NGINX palvelee

server {
        listen 80;
        listen [::]:80;

        client_max_body_size 5m;
        client_body_timeout 60;

        root /home/pori-hacklab/public_html;
        index index.php index.html index.htm;

        server_name pori.hacklab.fi pori-hacklab.xorfork.com;

        location / {
                try_files $uri $uri/ = 404;
        }

        location ~ \.php$ {
                fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
                fastcgi_index index.php;
                include fastcgi.conf;
        }

        location /wiki {
                rewrite ^/wiki/(.*)$ /wiki/index.php last;
                try_files $uri $uri $uri/index.php;
        }

        location ^~ /maintenance/ {
                return 403;
        }

        location ~ /\.ht {
                deny all;
        }

        location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {
                try_files $uri /index.php;
                expires max;
                log_not_found off;
        }

        location = /_.gif {
                expires max;
                empty_gif;
        }

        location ^~ /cache/ {
                deny all;
        }

        location ~ /\.ht {
                deny all;
        }
}

ja sivuston lähdekoodi auto pullataan git repositorystä ssh://gitolite@yawnbits.com:/pori-hacklab jossa ei ole muutoksia minun viimeisten muutosten jälkeen.

Tässä on wget joka näyttää, että pori.hacklab.fi ohjautuisi gen.xyz osoitteeseen eikä minun palvelimeeni.

wget pori.hacklab.fi
--2014-10-30 00:29:20--  http://pori.hacklab.fi/
Resolving pori.hacklab.fi (pori.hacklab.fi)... 94.23.46.5
Connecting to pori.hacklab.fi (pori.hacklab.fi)|94.23.46.5|:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://gen.xyz [following]
--2014-10-30 00:29:21--  http://gen.xyz/
Resolving gen.xyz (gen.xyz)... 54.183.116.245, 54.183.52.48
Connecting to gen.xyz (gen.xyz)|54.183.116.245|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘index.html.1’

    [  <=>                                  ] 20,144      90.4KB/s   in 0.2s   

2014-10-30 00:29:22 (90.4 KB/s) - ‘index.html.1’ saved [20144]

Kun tekee tuon wget kutsun niin 94.23.46.5 palvelimella NGINX kyllä kirjoittaa access logiin.

**.**.**.** - - [29/Oct/2014:23:39:32 +0100] "GET / HTTP/1.1" 302 5 "-" "Wget/1.15 (linux-gnu)"

Tuo wget kutsu ei mene perille toiselle palvelimelle sillä 37.187.113.214 palvelimen NGINX access logissa ei näy mitään uutta.

Joten kysyn vain, miten hitossa tuo sivusto menee pori.hacklab.fi osoitteesta tuonne gen.xyz palveluun?

Eikö se tuossa ole asian ydin eli pihvi. 94.xx.xx.xx tarjoaa 302:n eli tuon moved temporarily vastaukseksi ja ohjaa tuonne gen.xyz:n suunaan. Vai enkö ymmärrä jotain.

Vai tekeekö tuo proxy tuollaisen 302:n?

Mielestäni kyllä juuri niin. 94.23.46.5 tekee tuon 302:sen, mutta en minä löydä missä vika. Tuossa ensimmäisessä NGINX server kohdassa proxy_passin pitäisi mennä http://pori-hacklab.xorfork.com eikä http://gen.xyz. Tuo 302:nen menee siis väärään paikkaan jostain syystä. Ja minä en löydä minkäänlaista virhettä tuolla 94.23.46.5 palvelimella kun siellä pyörii vain http://xorfork.com blogi ja tuo proxy tuohon toiseen palvelimeen jossa Pori Hacklabin sivut sijaitsee tällä hetkellä.

Jos selityksenä olisi palvelun tarjoajan DNS joka tekee siirron muaalle palauttamatta NOT FOUND:ia jos redirect kohdetta ei löydy niin miksi http://pori-hacklab.xorfork.com toimii joka ottaa yhteyden suoraan tuohon sivustoon ilman NGINX proxyä? Ja palveluntarjoajani Saunalahti ei tuota siirtoa tee, koska myös toinen palvelimeni kärsii tuosta väärästä siirrosta joka sijaitsee Ranskassa.

Joku typo jossain kohtaa tuolla konffissa niin että tuo redirecti särkyy siltä osin. Toimiiko pori-hacklab tuolta proxypalvelimelta. Ja eikö nuo molemmat palvelimet ole jotain ovh/tms palvelimia.

NGINX kertoo kyllä typoista hemmetin hyvin ja aikaisemmin sama configuraatio toiminut. Molemmat palvelimet sijaitsevat ovh:lla. Mutta nyt tuo outo ongelma on hävinnyt kun vaihdoin tuon proxy_pass:n osoitteen hetkeksi.