2017年4月7日 0:00 起,我校移动线路出现故障,LUG旗下多项服务受到影响:
- 科大开源镜像站(临时解析至教育网线路)
- LUG首页(同上)
- GitLab(同上)
- 反向代理(临时解析至教育网线路,所有线路访问变慢)
- 科大博客(临时解析至电信线路)
- 防污染DNS(移动线路不可用;电信、教育网线路解析变慢)
- LUG VPN(临时解析至教育网线路;访问国外网站速度变慢)
- Light(同上)
给您带来的不便,我们深表歉意。
update 02:34 移动线路恢复
分类:lug
多个网站出现SSL认证故障
由于GlobalSign OCSP服务出现故障,导致USTC LUG旗下多个站点的SSL证书状态显示为“被吊销”。
目前暂无临时解决方案,静待缓存过期。
update 20161019: 对于macOS用户,请在终端中执行以下命令强制清除缓存:
sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'
科大电信出口遭到攻击
2016年8月26日 17:45 科大电信出口遭受DDOS攻击,目前出口丢包率较高。
公网访问以下服务的电信接入点,将变得不稳定:
- 开源镜像站
- 权威DNS
- LUG主页
- LUG FTP
- 防污染DNS
- GitLab
- 科大博客
- 反向代理
- LUG BBS
- FreeShell(端口映射)
请用户暂时切换至教育网接入点或移动接入点。
P.S. 校内用户不受影响
update 2016.08.26 18:29:26: jameszhang联系电信封掉了受攻击的IP,服务恢复正常。总故障时间44分钟。
LUG主页、GitLab故障公告
反向代理服务器于2016年3月30日 04:16 内核崩溃。于30日07:26强制重启后恢复。故障原因正在调查中。
事故过程:
2016-03-29 20:32 监控报警,www.ustclug.org无法正常访问。接到报警后,我尝试访问www.ustclug.org没有遇到故障。以为是误报。
2016-03-30 04:16 监控报警,git.ustclug.org等网站挂了一片。(此时正在与周公聊天)
2016-03-30 05:54 boj前辈在QQ群中报告了网站故障。
2016-03-30 07:07 早上醒来后看到一堆报警,于是查找故障原因。发现反代服务器kernel panic。
2016-03-30 07:27 对反代服务器所在的虚拟机执行reset命令,强制重启后服务恢复。
最后,向凌晨还在辛苦工作的boj致以最诚挚的问候和衷心的感谢(づ ̄ 3 ̄)づ)
LUG FTP 恢复服务
如题,LUG FTP 即日起正式恢复并上线。
在新架构下,LUG FTP 与提供 LUG 主页(https://lug.ustc.edu.cn)的服务器进行了分离,请使用新域名进行访问: ftp://ftp.ustclug.org
用户名与密码均使用 ftp。
update 2015-9-4: 添加了HTTP访问方式http://ftp.ustclug.org/。
LUG 主页服务器停机维护通知
近期,lug.ustc.edu.cn 服务器一块硬盘出现了坏道,造成部分数据损坏。
损坏数据多为 LUG 主页 wiki 生成的缓存,其他重要数据均已备份。而 Time Machine 的备份文件在另一块硬盘上,未受到任何影响。
为避免进一步的数据损失,技术部门将于2015年5月2日下午3:00开始对该服务器执行停机维护,更换损坏的硬盘。预计停机2小时,届时以下服务将不可用:
- LUG 主页(Wiki)
- LUG FTP
- Time Machine
希望各位用户予以理解!
LUG 权威 DNS 更新 TLSA 记录
自从服务器更换 TLS 证书之后,DNS 服务器上的 TLSA 记录并没有及时更新,使得在通过 git.ustclug.org 访问 GitLab 服务器以及通过 ustclug.org 访问主页服务器是会报 TLSA 验证失败错误。
现已更新 TLSA 记录,两个网站的 TLSA 验证恢复正常。
感谢 hugo 的 bug 报告。
LUG 网络服务3月9日网络中断说明
由于 全校范围的网络故障,3 月 9 日下午 17:00 ~ 18:00 网络时断时续,3 月 10 日凌晨 0:00 ~ 6:00 大约每半小时断网一次。
昨天的故障和 3 月 5 日持续 45 分钟的故障,原因估计是 近代物理楼某接口发送大量 ARP 包导致核心交换机 CPU 过载,换句话说,就是核心交换机被拒绝服务攻击了。
现代交换机通常是使用 ASIC(专用芯片)或 FPGA 来做绝大部分数据包的转发,只有少数控制包(如 ARP、STP 包)要交给交换机 CPU 做处理,交换机的 CPU 通常计算能力非常有限。例如 MAC 地址学习功能一般是由 CPU 进行的,首先所有 ARP 包被发到 CPU,CPU 把 MAC 地址和物理端口的映射关系写入到 ASIC 或 FPGA 中的二层转发表。如果交换机收到大量 ARP 包,又没有在入站端口对 ARP 包进行限速,就会导致交换机 CPU 忙不过来。
非常抱歉近几天的网络故障给您带来的不便。同时强烈谴责(有意或无意)进行网络攻击的人,对全校师生造成了这么大的麻烦!
ustclug.org 换发新 SSL 证书
2015 年 1 月 6 日 zhsj 发现 Chrome 40 Beta 版里,ustclug.org 和 servers.ustclug.org 的地址栏不是小绿锁而是小黄锁,也就是不完全是安全连接。这是由于 Chrome 40 决定把证书失效时间不早于 2016 年 1 月 1 日,并且使用 SHA-1 数字签名算法的 SSL 证书认为是不安全的。推荐使用的是 SHA-256 数字摘要算法。
1 月 7 日,stephen 向 LUG 捐赠了 StartSSL Class 2 认证账号一枚,可用于颁发有效期两年的任意 SSL 证书。用该账号给 https://ustclug.org/ 和 https://servers.ustclug.org/ 换发了使用 SHA-256 和 RSA 2048 位数字签名的新 SSL 证书。
ustclug.org 新证书的基本信息(为防垃圾邮件用了图片):
感谢 stephen 的捐赠!
LUG 服务器停止支持 SSL 3.0 协议
根据 Google 最新发布的 安全建议,SSL 3.0 存在 POODLE 漏洞,导致 HTTPS 安全连接可能被中间人攻击。这是一个协议设计漏洞,而非软件 bug,因此不可能通过升级软件的方式解决。
目前 LUG 使用 SSL 的 Web 站点已经禁用不安全的 SSL 3.0 协议,只支持 TLS 协议(TLSv1、TLSv1.1、TLSv1.2)。
本修改导致 IE6 用户无法使用 LUG 站点的 HTTPS 服务。事实上我们使用的 StartSSL 证书也不被 Windows XP 信任(其中包括 IE6),在此只能对 IE6 用户说声抱歉了。