科大移动线路故障

2017年4月7日 0:00 起,我校移动线路出现故障,LUG旗下多项服务受到影响:

  • 科大开源镜像站(临时解析至教育网线路)
  • LUG首页(同上)
  • GitLab(同上)
  • 反向代理(临时解析至教育网线路,所有线路访问变慢)
  • 科大博客(临时解析至电信线路)
  • 防污染DNS(移动线路不可用;电信、教育网线路解析变慢)
  • LUG VPN(临时解析至教育网线路;访问国外网站速度变慢)
  • Light(同上)

给您带来的不便,我们深表歉意。


update 02:34  移动线路恢复

多个网站出现SSL认证故障

由于GlobalSign OCSP服务出现故障,导致USTC LUG旗下多个站点的SSL证书状态显示为“被吊销”。

目前暂无临时解决方案,静待缓存过期。

update 20161019: 对于macOS用户,请在终端中执行以下命令强制清除缓存:


sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

科大电信出口遭到攻击

2016年8月26日 17:45 科大电信出口遭受DDOS攻击,目前出口丢包率较高。

公网访问以下服务的电信接入点,将变得不稳定:

  • 开源镜像站
  • 权威DNS
  • LUG主页
  • LUG FTP
  • 防污染DNS
  • GitLab
  • 科大博客
  • 反向代理
  • LUG BBS
  • FreeShell(端口映射)

请用户暂时切换至教育网接入点或移动接入点。

P.S. 校内用户不受影响

update 2016.08.26 18:29:26: jameszhang联系电信封掉了受攻击的IP,服务恢复正常。总故障时间44分钟。

LUG主页、GitLab故障公告

反向代理服务器于2016年3月30日 04:16 内核崩溃。于30日07:26强制重启后恢复。故障原因正在调查中。

事故过程:

2016-03-29 20:32  监控报警,www.ustclug.org无法正常访问。接到报警后,我尝试访问www.ustclug.org没有遇到故障。以为是误报。

2016-03-30 04:16  监控报警,git.ustclug.org等网站挂了一片。(此时正在与周公聊天)

2016-03-30 05:54  boj前辈在QQ群中报告了网站故障。

2016-03-30 07:07  早上醒来后看到一堆报警,于是查找故障原因。发现反代服务器kernel panic。

2016-03-30  07:27  对反代服务器所在的虚拟机执行reset命令,强制重启后服务恢复。

最后,向凌晨还在辛苦工作的boj致以最诚挚的问候和衷心的感谢(づ ̄ 3 ̄)づ)

LUG 主页服务器停机维护通知

近期,lug.ustc.edu.cn 服务器一块硬盘出现了坏道,造成部分数据损坏。

损坏数据多为 LUG 主页 wiki 生成的缓存,其他重要数据均已备份。而 Time Machine 的备份文件在另一块硬盘上,未受到任何影响。

为避免进一步的数据损失,技术部门将于2015年5月2日下午3:00开始对该服务器执行停机维护,更换损坏的硬盘。预计停机2小时,届时以下服务将不可用:

希望各位用户予以理解!

 

LUG 网络服务3月9日网络中断说明

由于 全校范围的网络故障,3 月 9 日下午 17:00 ~ 18:00 网络时断时续,3 月 10 日凌晨 0:00 ~ 6:00 大约每半小时断网一次。

昨天的故障和 3 月 5 日持续 45 分钟的故障,原因估计是 近代物理楼某接口发送大量 ARP 包导致核心交换机 CPU 过载,换句话说,就是核心交换机被拒绝服务攻击了。

现代交换机通常是使用 ASIC(专用芯片)或 FPGA 来做绝大部分数据包的转发,只有少数控制包(如 ARP、STP 包)要交给交换机 CPU 做处理,交换机的 CPU 通常计算能力非常有限。例如 MAC 地址学习功能一般是由 CPU 进行的,首先所有 ARP 包被发到 CPU,CPU 把 MAC 地址和物理端口的映射关系写入到 ASIC 或 FPGA 中的二层转发表。如果交换机收到大量 ARP 包,又没有在入站端口对 ARP 包进行限速,就会导致交换机 CPU 忙不过来。

非常抱歉近几天的网络故障给您带来的不便。同时强烈谴责(有意或无意)进行网络攻击的人,对全校师生造成了这么大的麻烦!

ustclug.org 换发新 SSL 证书

2015 年 1 月 6 日 zhsj 发现 Chrome 40 Beta 版里,ustclug.org 和 servers.ustclug.org 的地址栏不是小绿锁而是小黄锁,也就是不完全是安全连接。这是由于 Chrome 40 决定把证书失效时间不早于 2016 年 1 月 1 日,并且使用 SHA-1 数字签名算法的 SSL 证书认为是不安全的。推荐使用的是 SHA-256 数字摘要算法。

1 月 7 日,stephen 向 LUG 捐赠了 StartSSL Class 2 认证账号一枚,可用于颁发有效期两年的任意 SSL 证书。用该账号给 https://ustclug.org/https://servers.ustclug.org/ 换发了使用 SHA-256 和 RSA 2048 位数字签名的新 SSL 证书。

ustclug.org 新证书的基本信息(为防垃圾邮件用了图片):

感谢 stephen 的捐赠!

LUG 服务器停止支持 SSL 3.0 协议

根据 Google 最新发布的 安全建议,SSL 3.0 存在 POODLE 漏洞,导致 HTTPS 安全连接可能被中间人攻击。这是一个协议设计漏洞,而非软件 bug,因此不可能通过升级软件的方式解决。

目前 LUG 使用 SSL 的 Web 站点已经禁用不安全的 SSL 3.0 协议,只支持 TLS 协议(TLSv1、TLSv1.1、TLSv1.2)。

本修改导致 IE6 用户无法使用 LUG 站点的 HTTPS 服务。事实上我们使用的 StartSSL 证书也不被 Windows XP 信任(其中包括 IE6),在此只能对 IE6 用户说声抱歉了。