更换DNS服务使用的IP地址库

由于一些历史原因,LUG自建DNS服务使用过多个版本的IP地址库,但IP地址库的准确性均不高。这导致部分用户解析结果不够精确(如电信用户解析到移动IP),影响使用体验。

我们通过分析BGP/ASN数据得到一个全新的地址库,大幅提升了IP数据库的准确性。目前LUG DNS服务已经应用新的IP数据库。在此感谢boj师兄的建议~

代码已开源:china-operator-ip


涉及到的服务包括但不限于:

  • 科大开源镜像站
  • 科大博客
  • 代码托管平台
  • 轻量级网络加速服务
  • 虚拟专用网络相关服务和站点
  • 反向代理服务
  • FTP服务

LUG的大部分网络服务拥有三条线路:

  • 中国移动(默认线路)
  • 中国电信
  • 教育网

如果您遇到解析结果与所在运营商不符的情况,请与我们联系

科大博客修复无法安装插件、主题等问题

2016年9月,我们遇到了两次利用插件漏洞的恶意代码上传事件,一次是被挂黑页、被网监查了水表,一次是滥发垃圾邮件用完了 LUG 的邮件配额。第二次恶意代码上传事件后,我们修改 PHP 解释器代码,禁止了 .php 扩展名文件的写入和非 .php 扩展名文件的执行。这个限制的后果是无法安装或升级插件、主题。非常抱歉此问题给您带来的麻烦。

现在修改了 PHP 解释器中的文件访问限制,使得通过 WordPress 后台正常的上传、更新、编辑插件和主题不会受到影响。禁止插件和主题自己修改代码,也就是利用插件漏洞的恶意代码上传将不能得逞(当然部分生成 PHP 模板的插件可能无法使用)。

具体文件访问限制策略如下:

  1. 非 .php 扩展名的文件禁止执行(与之前相同)
  2. WordPress 用户上传目录内的文件禁止执行(上传目录相对路径可在 php.ini 里配置,用户不能修改)
  3. .php 扩展名的文件,只有受信目录内的代码才能写入(受信目录列表可在 php.ini 里配置,用户不能修改)。具体方法是判断 php 调用栈上的每个文件是否都在受信目录内,只要有一个不在就报错。目前受信目录是用户间共享、用户不可修改的 WordPress 核心代码。

此外,之前 blog 注册激活后需要升级数据库。这是因为之前安装 blog 的过程是直接导入一个数据库模板,WordPress 4.6.1 检测到数据库表结构的变化,就提示需要升级。现在修改了安装过程,直接调用 WordPress 的数据库安装函数,装好的 blog 就是最新版本的数据库结构。与 WordPress 原版安装程序略有不同,您将不会收到 WordPress 自动发送的安装成功邮件,因为其中包含明文密码,我们把这个发邮件的过程去掉了。

如果您注册新博客后发现问题,或发现插件、主题无法安装、升级,欢迎报 bug。感谢您对科大博客的支持。

科大电信出口遭到攻击

2016年8月26日 17:45 科大电信出口遭受DDOS攻击,目前出口丢包率较高。

公网访问以下服务的电信接入点,将变得不稳定:

  • 开源镜像站
  • 权威DNS
  • LUG主页
  • LUG FTP
  • 防污染DNS
  • GitLab
  • 科大博客
  • 反向代理
  • LUG BBS
  • FreeShell(端口映射)

请用户暂时切换至教育网接入点或移动接入点。

P.S. 校内用户不受影响

update 2016.08.26 18:29:26: jameszhang联系电信封掉了受攻击的IP,服务恢复正常。总故障时间44分钟。

USTC Blog 可以使用 Let’s Encrypt 证书了

Let’s Encrypt 是一个自由、免费、自动化的 SSL 证书颁发机构。只要有域名的控制权和一个 Web 服务器,就能申请到可信的 SSL 证书,给网站挂上小绿锁。除非你想要泛域名证书(即 *.example.com 这种)或者想要 EV 认证(绿色地址栏),Let’s Encrypt 颁发的证书不仅不需要花钱,整个申请过程还是完全脚本化的。

USTC Blog 今天针对第三方域名,增加了自动申请和续期 Let’s Encrypt 证书的功能。如果您希望给博客绑定第三方域名,将不再需要自己申请和上传证书及私钥,而可以让我们代为自动申请。

Let’s Encrypt 需要验证域名的所有者,因此请首先把域名 CNAME 到 p.blog.ustc.edu.cn,并等待一段时间以便 DNS 记录更新。然后登录 WordPress 后台,设置 => 常规,勾选 “Apply, install and renew Let’s Encrypt SSL certificate automatically”。

勾选之后下面的上传 SSL 证书部分会自动收起。

保存更改,等待十秒左右,Let’s Encrypt 证书应该就申请成功并安装到您的博客上了。随后您可以通过 https://your-domain.com 访问博客了。

如果申请失败,例如域名解析尚未生效(Let’s Encrypt 需要通过域名 HTTP 访问到 USTC Blog 上的验证文件),或者您的域名所申请 Let’s Encrypt 证书的数量超过 Let’s Encrypt 方面的限制,请稍候再试。

证书的有效期为三个月。到期前一段时间,USTC Blog 会自动续期。

由于 Let’s Encrypt 限制每个域名每个月不能申请超过 100 张证书,且不支持泛域名证书,我们目前无法为 *.blog.ustc.edu.cn 使用 Let’s Encrypt 证书,而是仍然使用 StartSSL 颁发的 OV 泛域名证书(*.blog.ustc.edu.cn)。

如果您在使用 Let’s Encrypt 过程中遇到任何问题,欢迎联系我们

科大博客修复编辑页面无法切换“可视化”和“文本”视图的问题

1月2日科大博客升级至4.4后,出现一些bug:

  • 文章编辑页面无法在“可视化”视图和“文本”视图之间相互切换。
  • 无法插入链接、多媒体

经查是由于翻译包版本不匹配引起的。

目前该问题已修复,如果您的博客仍然存在类似问题,请与我们联系。

感谢 林太星 前辈的帮助与指导。

通知:USTC BLOG校内服务器停止为自定义域名提供服务

为了规避相关法律风险,2015年12月6日,科大博客校内服务器将停止为自定义域名提供服务。科大博客子域名(如xxx.blog.ustc.edu.cn)不受影响。

我们在此提醒您,如果您希望继续使用自定义域名,请于2015年12月5日23:59前,将您的域名解析至LUG位于境外的反向代理服务器p.blog.ustc.edu.cn

P.S. 如果您使用了DNSPod或类似服务,您只需在面板中删除当前记录,并添加一条CNAME记录,值为p.blog.ustc.edu.cn

感谢您的理解与配合。