На днях появилась новость о том, что сайты под управлением CMS WordPress и Drupal подвержены DDOS атаке на базе механизма PHP XML, поэтому для продолжения успешной работы следовало, либо проапгрейдится до последних версий, где данная уязвимость была пофиксена, или же удалить из корня сайта файлик xmlrpc.php
Атака построена на исчерпании свободной памяти вебсервера, путем генерации запросов, отжирающих по максимуму через дефолтные директивы апача на максимальное число соединений, и дефолтные директивы PHP на память под процесс.
Поскольку один из дедиков у меня по непонятным причинам, де то недели две назад начал периодически залипать, причем попытка отловить дампы не увенчалась успехом; то решил обновить наиболее важные сайты, а на остальных сатах просто поудалял злосчастный файлик.
И вот при одном из автообновлений на WordPress, получил такую вот ошибочку:
Download failed.: Could not create Temporary file
Попытка поиграться с правами на wp-content/upgrade ничего не дала, т.ч. пришлось действовать более радикально – в файлик wp-config.php добавил две строчки:
define(‘wp-content/upgrade’, ini_get(‘upload_tmp_dir’));
putenv(‘TMPDIR=’ . ini_get(‘upload_tmp_dir’));
После этого все зашуршало нормально.