科大移动线路故障

2017年4月7日 0:00 起,我校移动线路出现故障,LUG旗下多项服务受到影响:

  • 科大开源镜像站(临时解析至教育网线路)
  • LUG首页(同上)
  • GitLab(同上)
  • 反向代理(临时解析至教育网线路,所有线路访问变慢)
  • 科大博客(临时解析至电信线路)
  • 防污染DNS(移动线路不可用;电信、教育网线路解析变慢)
  • LUG VPN(临时解析至教育网线路;访问国外网站速度变慢)
  • Light(同上)

给您带来的不便,我们深表歉意。


update 02:34  移动线路恢复

科大博客自定义域名服务维护公告

接上级主机商通知(Linode),为修复虚拟化工具Xen的安全漏洞,需要重新启动主机。维护时间定于:

2017-04-04  2:00~4:00 AM (北京时间)

届时用户自定义域名服务将短暂性中断。

注:科大博客主域名(*.blog.ustc.edu.cn)不受本次维护影响。

 

更换DNS服务使用的IP地址库

由于一些历史原因,LUG自建DNS服务使用过多个版本的IP地址库,但IP地址库的准确性均不高。这导致部分用户解析结果不够精确(如电信用户解析到移动IP),影响使用体验。

我们通过分析BGP/ASN数据得到一个全新的地址库,大幅提升了IP数据库的准确性。目前LUG DNS服务已经应用新的IP数据库。在此感谢boj师兄的建议~

代码已开源:china-operator-ip


涉及到的服务包括但不限于:

  • 科大开源镜像站
  • 科大博客
  • 代码托管平台
  • 轻量级网络加速服务
  • 虚拟专用网络相关服务和站点
  • 反向代理服务
  • FTP服务

LUG的大部分网络服务拥有三条线路:

  • 中国移动(默认线路)
  • 中国电信
  • 教育网

如果您遇到解析结果与所在运营商不符的情况,请与我们联系

科大博客修复无法安装插件、主题等问题

2016年9月,我们遇到了两次利用插件漏洞的恶意代码上传事件,一次是被挂黑页、被网监查了水表,一次是滥发垃圾邮件用完了 LUG 的邮件配额。第二次恶意代码上传事件后,我们修改 PHP 解释器代码,禁止了 .php 扩展名文件的写入和非 .php 扩展名文件的执行。这个限制的后果是无法安装或升级插件、主题。非常抱歉此问题给您带来的麻烦。

现在修改了 PHP 解释器中的文件访问限制,使得通过 WordPress 后台正常的上传、更新、编辑插件和主题不会受到影响。禁止插件和主题自己修改代码,也就是利用插件漏洞的恶意代码上传将不能得逞(当然部分生成 PHP 模板的插件可能无法使用)。

具体文件访问限制策略如下:

  1. 非 .php 扩展名的文件禁止执行(与之前相同)
  2. WordPress 用户上传目录内的文件禁止执行(上传目录相对路径可在 php.ini 里配置,用户不能修改)
  3. .php 扩展名的文件,只有受信目录内的代码才能写入(受信目录列表可在 php.ini 里配置,用户不能修改)。具体方法是判断 php 调用栈上的每个文件是否都在受信目录内,只要有一个不在就报错。目前受信目录是用户间共享、用户不可修改的 WordPress 核心代码。

此外,之前 blog 注册激活后需要升级数据库。这是因为之前安装 blog 的过程是直接导入一个数据库模板,WordPress 4.6.1 检测到数据库表结构的变化,就提示需要升级。现在修改了安装过程,直接调用 WordPress 的数据库安装函数,装好的 blog 就是最新版本的数据库结构。与 WordPress 原版安装程序略有不同,您将不会收到 WordPress 自动发送的安装成功邮件,因为其中包含明文密码,我们把这个发邮件的过程去掉了。

如果您注册新博客后发现问题,或发现插件、主题无法安装、升级,欢迎报 bug。感谢您对科大博客的支持。

科大电信出口遭到攻击

2016年8月26日 17:45 科大电信出口遭受DDOS攻击,目前出口丢包率较高。

公网访问以下服务的电信接入点,将变得不稳定:

  • 开源镜像站
  • 权威DNS
  • LUG主页
  • LUG FTP
  • 防污染DNS
  • GitLab
  • 科大博客
  • 反向代理
  • LUG BBS
  • FreeShell(端口映射)

请用户暂时切换至教育网接入点或移动接入点。

P.S. 校内用户不受影响

update 2016.08.26 18:29:26: jameszhang联系电信封掉了受攻击的IP,服务恢复正常。总故障时间44分钟。