众所周知，国内乃至全球，码农中的女性比例都是非常低的，很多人会认为这是源于“男权社会”长期的压迫，所形成的“刻板印象”而导致的。然而，我们又会提到以下一些实事：世界上第一个程序员是女性 Ada，WiFi 之母 海蒂·拉玛。所以照道理女性在做程序员这个事情上并不弱于男性。

当然，本文我不想谈什么女权主义，也不会谈生育这个问题对女性在程序员这个行业中的影响——当然生育毫无疑问会有很大影响。而我真正希望的是透过本文的分析，告诉大家（不仅限于女性）应该如何面对做“程序员”这个事情。

其实当我认为很多人在说“女性不适合写代码”，更多的是传递类似于“个子矮的不适合打篮球”一样的信息。这些人说这句话的语气中往往伴随着“长辈般的慈爱”，又让很多叛逆的年轻人会非常的不爽。但是“个子矮的不适合打篮球”是在歧视矮子吗？并不是，因为打篮球是一个很强竞争性的活动，在竞争中，个子矮确实不占优势。

这里我要提到一个人的“自由意志”，如果你有足够的热情和意志，你可以办到很多事情。有志者事竟成，所以中国历史上我们有花木兰，有李清照等等，他们在一些领域里面做的不比男性差，甚至比绝大多数男性要好。毫无疑问，做到这种程度，是需要花很大代价的（无论男女）。

对于任何一件事情，要做好都需要付出很多时间、汗水，需要强大的意志做支撑。

但我同时有个观点：很多事情对于小众来说可以谈“情怀”，但扩展到大众来说，则一定是要讲利益的。大众的行为一定是大多数的趋利避害和小部分的自由选择。并且，一定考虑到个体之间的博弈和竞争。

所以当一个女生来询问“女性适不适合做程序员”的时候，多数情况下，她们并不发自内心的热爱这一行，其实是在寻找一种对自己利益最大化、风险最低的综合最优路径——毫无疑问，多数男性也是一样的。当然我认为这并不是坏事，整个人类社会系统就是这样在很多个体之间的相互博弈中，找出对整个系统较为有效的路线。

事实上绝大多数人，无论男女，其实对写代码这个事情，都不会有特别的热情的，只是作为一种谋生手段。那既然只是一种谋生手段，那么为什么不能选择最优的那条，比如能不能挑个收入不高但是轻松的？
要知道很少有人会坚持某个方向和路线几十年。我在初中时就决定了我要做程序员，高考填志愿直接选择计算机相关专业。学习编程十载，而现今从业十载，环顾周围，当年老同学现在还在写代码的已经寥寥；当时的班上女生不足三分之一，如今还在写代码的一个都没有了。

所以很多社会现象看上去违反道理，然而可能是博弈出来的对整个社会运作效率来说的较优结果。我们在谈论这些社会现象的时候，不能把小众的情况套用在大众身上。

一旦在给定规则下进行博弈，其实很多场合其实并没有设置性别门槛，然而经过残酷的竞争和博弈，可能最后由于某种性别有特殊优势，逐渐由让这种性别占了多数，其实并没有所谓“性别歧视”。我有以下的总结：

1. 工作的体力要求高于女性平均水平的，超出越多，女性越少。—— 各种奋斗在基层的工人，女性由于不占体力优势，所以在竞争中毫无优势。这个已经是共识，就不展开谈了。
2. 岗位的平均体能要求虽不高，但具有特定突发体能要求的且无法分工的，或有极大风险的，男性占优势。—— 比如保安，虽然平时保安的体能要求不高，但保安要求应对突发情况；长途司机，开车不难，但车一旦有故障需要修理的时候，维修工作对于女性来说强度较高。而像医护领域，则很好的特化了对体力要求不高的护士，该岗位上女性占绝对多数。
3. 任何可以通过提高工作强度，延长工作时间，增加产出而使回报线性增长的岗位，男性占优势，除非产出的极限。这里再次是因为体能的优势导致的。反过来说，如
举个典型的例子：同样是干烧菜的活，饭店厨师的男性比例远高于从事家政服务的钟点工。因为钟点工每天基本上最多两到三顿饭，无法通过增加产出来提高回报。而饭店厨师则要面临产出的考核，在竞争的条件下，饭店厨师在提高工作强度上明显需要极大的体能支持。

有些工作对于工作时间并没有任何要求，或者说，回报和工作时间长短没有直接关系，但是对于另外一些因素有着直接关系，比如艺术行业，那么这个行业当中，女性一定也能发挥很好的优势。而另外一些情况，如画匠，即，简单重复劳动无需创新的，则反而是男性居多

我这里要特别提一下第三点，有很多岗位，是看上去并不特别强调体力的，但是在竞争博弈中，如果大家都选择延长工作时间的话——一种囚徒困境——那么最终女性就不占优势了。
我们常常听到一句话：比你聪明的，比你有钱的，比你漂亮的，还比你努力。其实就是指，在竞争下，给定竞争选手差不多的条件，如果通过延长工作时间就能获得更多回报的话，那么就一定会有人努力投入更多时间来获得回报，直到体能上限。

编程，就是这种东西，它乍看上去只是个脑力劳动，没有多少体能要求，所以理应男女都合适做。但实际上业内人士都应该知道，就目前中国的软件行业发展水平来说，基本上就是一个苦活累活。无论中国的软件业还是互联网，基本上都是业务导向的，比如软件外包，比如做个手机商城等等。业务导向的为了应对不同业务需求，则有着非常非常多的细节，这些都是苦活累活。绝大多数程序员只是高级 CRUD 工程师，流水线上的工人、码农而已。
加上竞争的白热化，每个公司都强调速度，加上中国的对劳动者保障的不完善，无怪乎中国互联网公司都喜欢搞 996。
同时过去中国的软件业、互联网业很多事情都是远远落后于欧美的，这时候多数情况下我们并不需要多花时间进行研究，只要花力气把别人的东西“抄”一遍，做个拿来主义即可。很多大厂（不点名了），内部的系统最初往往都是先“借鉴”国外先进开源软件的思想。所以这时候，更多就是花力气把代码重新写一遍而已。

这里我本来可以举一点程序员猝死的新闻——我觉得大家只要去搜索一下就行了。

甚至对于程序员的晋升来说，大量的课后自我学习是不可避免的。有相当多的岗位所使用的基本工具、框架，在10年内都会更新换代。随着市场行情的变化，热门的技术变冷，需求减少之后，很多普通从业者也会一次次被逼转型。

所以在竞争的状态下，最终程序员演变成了一个拼体力的事情。在这种情况下，女性自然不占任何优势。

推演的结果便成了：
1. 任何进阶的岗位需要以上三类岗位做基础来积累经验的，女性不占优势，如做土木工程的管理人员。
2. 当博弈的结果最后依然是以工作时长来决定回报的时候，女性的就越来越不占优势。
3. 当这个岗位、行业具有马太效应的时候，比如头部的一些人拿到绝大多数回报，那么竞争的效果会更加强烈。
4. 不同岗位之间存在动态的平衡协调。事实上程序员行业内对性别是相对公平的，为了讨好女性时有降低标准的事情发生。

当知道了这些之后，是不是我们就真的可以得出结论说：“女性不适合做程序员”了吗？我认为并不是，我写这篇文章的目的在于让大家反思自己，无论男女，都不会希望最终落到拼体力的状态中，所以我们都需要正确认识自己的短板，找到自己的强项，避免陷入这种困境中。不要始终做重复劳动，而要寻找差异化、独特的具有竞争力的东西。

当然，资本家邪恶的 996 也是要抵制，不能让资本家制造这种竞争的场，让他们压榨程序员。这种事情我认为估计政府的责任更多一些，然而毕竟我们是初级阶段嘛。

那么作为女性，可以利用的优势也非常多，比如女性有着通常比男性更好的亲和力（比如我们能发现大商场里面的售货员基本上都是女性为主），所以可以在沟通上构筑自己的特殊竞争力，程序媛可以把工作侧重点放在协调性工作，更好推进项目进展，维持团队气氛和谐。
女性有着比通常男性更有优势的细致心，那么这些程序媛可以从事产品质量控制，所以其实可以看到如今测试岗位上的女性确实是比较多的。要知道质量控制对于很多产品是至关重要的，同时质量控制并不仅仅是测试，也并非无脑的工作，基础的测试岗位做熟了之后往往也要对整体的流程进行把控，上升空间也非常大。
对视觉、美更有追求的女性，可以从事偏艺术的岗位，如设计师、前端工程师。
无论如何，一定要找到那个可以结合自身优势的领域，这个领域的评价体系竞争最终只靠拼体力和时间长短。

竞争和博弈似乎永远是无法避免的事情，所以很多事情并非能不能做，而在于你的内心，是不是有足够坚定的意志，强大的信念，足够的韧性坚持下去。这才是能成就自己事业的核心。

2018年下半年开始，币圈形势急转直下。一下进入熊市之后，用户交易的积极性也变差了，行情萎靡，交易所的活跃度也大大降低。各种项目方也开始蛰伏。这对于交易平台来说是一个巨大的打击，行业面临洗牌。为了能在这种大环境中突围，我果断选择从我最擅长的社区和社交领域找到突破口。

兔基的诞生

现在币圈存在很多问题，受众有限，落地应用少。已经入场的存量用户基本都已套牢，他们在熊市里面也不喜欢交易。

回顾我们的目标：降低区块链的门槛，做增量市场，培养圈外的用户进入区块链，而非继续在有限的币圈内进行厮杀。

我希望我们的产品不要那么单薄无趣，让用户即便不想交易，也能保持每天上平台活动一下。

而大家都知道交易所的用户转化是非常难的，成本很高，处于转化漏斗的底部。而社区则可以产生较好的粘性，用户进入社区的门槛也会比较低，当用户在社区上逐渐学习到币的知识，并且获得了一些币之后，可以逐渐转化到交易所成为交易用户。这也符合我们设计的初衷。

所以首先我想在交易所基础之上做一个社区，给用户更容易注册的理由。

当有了社区之后，我了解到很多项目方也对于拉新的转化有着同样的困扰，而且他们运作币的手段和方式非常少，成本也很高。项目方主要使用社群的模式来和用户互动，但是社群难以沉淀内容，共识是存在内容中的。

关于钱包，总发现很多用户其实并没有能力独立自主使用钱包——而且像 EOS 的钱包的上手难度太高了——所以有相当多的用户是直接把币存在交易所里的。

交易所是服务于项目方的，帮助项目方进行融资和提供币的流动性，我自然非常关心项目方的诉求，如果项目方能获益，我们自然也能获益。

于是我认为如果能缩短这中间的路径，便可以提高我们用户转化率，也可以帮助项目方提高他们的转化率。

很多项目方都非常重视“社群”的运营，但是主要阵地是在微信群、telegram群，这样的“群”非常的碎片化，虽然实时互动有时候看上去很热闹，但是很难沉淀“内容”。而区块链行业中，最核心的“共识”，是应该承载在内容中的。所以我认为论坛的形式要优于即时通讯软件中的群的形式。

最终一个给项目方提供舞台，让用户唱主角，帮助项目方和用户之间进行沟通和互动的兔基平台应运而生。

最后总结一下：

1. 培养、教育新用户
2. 提高平台的粘性，促活
3. 提高平台的转化率
4. 提高代币的流通转化，减少摩擦
5. 沉淀内容、共识

那么这么一个社区平台究竟有没有前途呢？

在我这一年多从事区块链的过程中，我一直反复琢磨着区块链到底是什么，他代表了什么，他能改变什么。后来我领悟到，区块链跟人工智能其实是人类发现的两驾马车。很多人都说人工智能是生产力的提升，而区块链是生产关系的变革。我的理解中，人工智能是为了帮助人类去完成一些重复的劳动，让人类少做一些事情。而区块链的出现则是想通过一些方式，激励人类在一定的规范下做更多的事情。

例如比特币，通过他的算法和网络，鼓励矿工的加入来帮助其他人见证交易同时获得回报。区块链非常强调社区的自治、系统的激励，这就是区块链的魅力。

从这点上来看，我发现其实从很久之前我就已经在探索社区的自治和激励的问题。

回顾糗事百科时期

我从2008年开始做糗事百科的时候，便希望糗百能成为一个用户自己发布内容，用户自己审核和筛选的一个UGC平台，让用户自己主导笑话的质量，而创始团队尽量少的去干预社区的口味。所以当时我们做了两个超前的产品设计：

1. 是国内最早将“顶”和“踩”引入内容系统，作为优劣的评选——这在全球也应该是领先的，Facebook 在2009年才推出 Like 功能。而我们在08年便有了。

1. 推出群众审核，通过一定的算法，利用群众的智慧决定帖子是否应该出现在公众视野。

然而因为缺乏适当的激励，参与审核的人很少，因为长时间的审核并不能得到什么回报，虽然起初很多人都非常有情怀。同时因为算法不够好，非常容易让内容走偏或者是审核速度太慢。最终还是非常依赖于运营人员的审核。

回顾暴走漫画时期

接下来我在做暴走漫画的时候，为了解决激励的问题，曾推出过“尼玛币”。

（当时其实恰逢比特币的第一波高潮，当时狗币也莫名奇妙就火起来了，我还跟王尼玛说要不自己也发个链，当时因为不懂技术所以作罢，现在想想还挺遗憾的）

与糗事百科的段子不同，暴走漫画的创作难度更高。因为段子只需要一些文学功底，而暴走漫画需要点子、对白和分镜绘画等。虽然暴走漫画提供了创作工具降低了制作门槛，但难度依然很高。所以暴漫在初期是让自己的运营人员创作，以及找一些画手来兼职创作。

由于王尼玛一贯的高举高打，所以在融资之后，最终是公司通过现金补贴画手，走上了 PUGC 的路线，最后转型做视频，创作的门槛又是更加高了。

然而因为“尼玛币”的设计不当，单纯通过行为激励来奖励用户，最终导致超发和贬值，最终也失去了激励的意义。本来还能换辣条的，现在已经不值钱了。

而接触了区块链之后，经过不断的探索，我才真正找到了解决这些问题的方案。

兔基的未来

过去互联网的黄金时期，涌现出了很多优秀的论坛社区，比如西祠胡同、天涯社区、百度贴吧等。他们无一例外都是兴起于用户自治。而最后的衰落，则往往是因为用户无法得到激励而离开，或者平台需要变现，侵犯了用户本身的利益。像百度贴吧的衰落，就是一部用户自治权不断丧失的历史。

所以兔基社区的宗旨是要真正把平台运营的权利还给用户，让社区真正做到“自治”。社区平台一直是一个自治的问题。

于是兔基社区平台未来将为发币的项目方进行全方位、一条龙的赋能。

1. 帮助项目方沉淀内容和共识。
2. 通过各种工具如打赏、红包、投票，帮助项目方使用自己的代币来运营自己的社群，吸引新的用户进入。
3. 通过挖矿等工具来激励社区的用户在平台上的活跃，让用户能为社区做出贡献的同时获得回报，产生正向的循环。
4. 通过交易所来实现变现和代币的流转

比特兔和兔基未来会一直坚持社区自治，在社区共同努力中逐步迭代出适合我们的社区自治方案，让为社区做出贡献的成员获得最大收益。为广大用户提供一片属于自己的天空。

地址：https://pub.bitrabbit.com/zh-cn/blackboard/topics/95438

首先我们回顾一下兔币的闭环：

• 通证的生产：社区的内容创作者和互动网友，从互动挖矿中获得平台给予的激励，网友还可以把兔币打赏给内容创作者。

• 通证的回收：持有兔币的用户，可以从平台通过广告竞价等方式购买流量。兔币未来也可以在平台兑换商品、礼包和各种实体店代金券。

• 生产者和消费者在兔所交易兔币

通过打破线下消费场景和线上生态体系之间的壁垒，让兔币拥有真正的价值。

关于平台币价格和平台流量之间的关系，我们研究了币安的 BNB 和 Kucoin 的 KCS，发现平台币价格跟平台流量之间存在一定的关系：

一、币安和 BNB

SimilarWeb的币安流量图，纵坐标是月访问量

币安的BNB 对 USDT的月K线，来源币安官网

二、KuCoin 和 KCS

SimilarWeb的KuCoin流量图

（KuCoin 平台币KCS 对 USDT 的周K 线，来源 KuCoin 官网）

根据上表的数据，我们发现平台币价格和流量之间存在明显的正相关关系。

当然，这是非常合理的。平台币的作用就是在自己的平台上使用和流通，当平台流量下降的时候平台币的使用率降低，需求会变少，自然价格也会走低。

那么我们用类似的逻辑分析一下兔所的兔币。

在兔币的消耗方面，目前主要是用在两个地方，一个是兔所的交易对开通的投票，另一个购买社区的广告流量。本质上都是把兔币和平台的流量进行了挂钩。因此兔币的价格有非常清晰的价值支撑。

当社区流量上涨时，投放广告效果变好，广告价格便会上升，广告主对广告的唯一通证兔币的需求就会上升，兔币价格就会上涨。

当交易所流量上涨时，此时通常是币市活跃的时期，这个周期中，会争相有创业团队发币募资，此时对交易所提供币的流动性有更强的需求。为了能在兔所开通交易对，则必然对兔币有更强烈的需求，促使兔币价格走高。

然而，与币安和KuCoin单纯作为交易所不同，兔基作为一个综合性社区，其流量不容易受到币市币价涨跌影响，所以对熊市有天然的抗性。最有力的证明是：从我们上线兔基到现在，流量一直在稳定上涨（来自 Google Analytics 的数据）：

综上所述，我们认为兔币的价格是和平台流量呈强烈的正相关关系，以下是我们对币价和流量之间关系的预测，当比特兔和兔基的流量达到月访问量1000万时，兔币的价格应该在3.6美元。

所以希望兔币持有用户们跟我们一起大力推广兔基和比特兔平台，把他打造成区块链时代最强的平台，一起享受流量带来的红利。

声明：以上内容并非投资的建议，预测仅供参考，并非担保。

其实去年在阿里巴巴达摩院成立的时候，我就已经写过一篇当时匿名的回答来阐述过阿里巴巴的一些大公司通病（其实我觉得也不一定算病），已经写了一些我为什么离开阿里的理由。

至于到底至于为什么要离开，简单的说就是不“match”。你的行为方式和团队的，你擅长的东西和你的岗位要求，你追求的和公司能给的，等等。就好像谈恋爱的两个人，不契合就是不契合。

在阿里，同事之间都以同学相称，园区也自称大学，颇有种象牙塔的感觉。 进了阿里之后，似乎就像大学校园一样与世隔绝。

因为每个人都被安排了自己的一亩三分地，跟固定的一些关联方合作，基本上并不需要多与外界接触。

虽然看起来网络确实还通着，你还能与外界沟通很多工作相关的东西，但是因为工作上关注点过于集中，工作压力大，非常容易忽略其他的事情。体制内的技术体系非常的完整和完善，一旦熟悉了也不需要去多学习其他的新东西。再加上绩效考核等等东西，个人能力的发展非常容易被体制固定化。长期以往容易与时代脱节。

这就是所谓的“体制化”。

不过这点上阿里巴巴还算优秀，因为整个公司危机意识强，技术人员也乐于通过一些技术的模仿和微创新来完成自己的 KPI，所以基础设施的更新还是比较快的，国内是强于百度和腾讯的。所以在阿里做技术，暂时还不太容易出现做了好多年出来发现技术领域完全变天了的情况——当然也不轻松。

如果前面说的闭塞是对于外包而言的话，其实内部的沟通也同样非常受限。

在我待了半年之后，听说同一大团队下的另外一个专家要转岗去其他部门，他已经在阿里巴巴待了8年了。我私下跟他聊了一下，问他为什么要转岗，他说对未来感到迷茫，遇到了天花板，不知道干嘛，想准备尝试做产品经理。我对他说他在阿里待了这么久，怎么也认识一些大佬，为什么不能找大佬聊聊为什么工作遇到瓶颈，让大佬看看有没有更合适的机会。然而他告诉我，除了一直跟着的老板，没有其他什么特别熟的大佬了，即便是曾经的同僚，一旦高升之后便也没有了往来。 我顿悟。

我非常理解这种情况。大公司的体制决定了，上级对下属有非常大的权力，可以调配非常多的资源。下属将来能不能晋升，都要靠上级。权力是多疑的，上司会非常清楚凑上来的下属都觊觎着自己手上的资源，都希望往上爬。这就是体制。如果这都能轻松越级沟通的话，估计离高升也不远了。 同时太跳了也容易卷入各种政治斗争中。

虽然我觉得找大佬不见得就一定是要资源，我更多的是希望能向大佬们学习，了解他们的工作方式，打开自己眼界，从他们的角度审视自己，并且给自己规划更长远的路线。然而上司们不会有足够的时间和精力来帮助到每个下级。因为他还要想着如何围着他的上级去转。

所以最终基本上就是什么层级的人跟什么层级的玩。当然，因为眼界、责任各方面并不对等，所以这也是非常合理的。

甚至，我有个大学同学也在阿里，到杭州来的时候只有入职那阵子约到过一次，其后每次约都是有事在外出差。我不清楚为何。

然而，对于创业来说情况则完全不同。当我还在上海的时候，我经常可以参加一些创业朋友之间的聚会，会大家可以互通有无，开阔眼界，思辨一些问题，从完全不同的角度来审视自己的事情。

创业的时候能接触的人会有各种各样的人。甚至我能接触到上市公司的创始人，因为我的特殊专长也会敬我三分。试想一个在阿里巴巴任职的普通员工，即便他在全国也算顶尖的专家，只要级别上不去，能有什么机会得到马云或者低一些逍遥子等大佬的垂青，能在饭局上跟他们谈笑风生？ 其实越级都相当困难。而我可以尝试整合一切可用资源，而不局限于体制内被分配的那些。

在体制内是千军万马过独木桥，而创业是八仙过海各显神通。这就是创业的魅力。

海阔凭鱼跃，天高任鸟飞

——非常感恩在阿里巴巴的这一年。

分布式自治组织（DAO ）和相关社区的募集资金问题一直是区块链社区讨论的热点。我们深刻感到了DAO在解决一些例如开源社区工作和管理的可能的优点，也感受到了在集资领域 ICO 架构的不足和缺点。我们决定提出一种基于去中心化系统上的合作形式，即去中心化合伙制度(DAP)。

1.1 什么是去中心化合伙制度

去中心化合伙制度主要指建立在去中心化系统上的一种合作制度。合伙制体系以合伙制公司为例，在金融、会计以及咨询领域都十分常见。而我们认为金融活动是目前最容易被定义运作在去中心化系统之上的一种系统。因此，我们提出的去中心化合伙制度，可以供相关领域的公司在进行金融活动时参考。另外一方面，去中心化合伙制度对粗犷的ICO方式提供了一种开发的修正和完善，即区块链项目应该勇于自我监管，促进社区进步。

1) 自由人与社区

人类历史上，有段非常恢弘的篇章称之为罗马共和国，罗马共和国的一个重要信念就是自由，而自由是所有追求权力的罗马人渴望的共同理念，因此所有的政治行为和争论集中在这套自由理念框架内进行的。我们可以认为罗马共和国就是“自由人组成的社区”。

罗马政治家对这种具体的自由理念有各种各样的解读和应用，但实质上这也传递了摆脱君主统治获得自由的道理——罗马公民的权利：法律面前形式上的平等、一定程度上受到保护而免受行政官员的专制压迫、有权通过法律和选举行政官员。

然而，认为罗马共和国是民主体制的人忽视了这样的事实：政治权利不是存在于真空中，而是存在于社会和经济结构中，那才是真正决定其能否变成现实的地方。

我们认为，在一个社区发展当中，无论是否认定其是一个区块链社区，都必须去思考一个问题——它的社会和经济结构是怎样的？实际上，当我们参与一项活动时，无论这项活动是投票还是投资，一定会同时有社会结构和经济结构这两方面的原因。简而言之，社会和经济结构决定了我们的每项活动的原因和性质。

一个社区，无论是基于互联网APP还是区块链应用，都应该反思几个重要问题:

1. 我们的生产关系是怎样的？

2. 我们的权力如何分配？

3. 我们的经济活动和规则有哪些?

区块链社区的创立者们常常会提出一些宏大的梦想，并试图建立一个个行业领域的大平台，但是现实往往不尽人意——它们缺乏实际的落地效果。许多区块链项目的估值建立在其可以成就的那个庞大的自治社区，而我们需要注意到的是，一个自治社区是需要特定的社会结构和经济结构的。

以比特币为例，它拥有核心开发者、矿工和用户三类角色，它们组成了比特币社区的社会结构。其中矿工和用户贡献了比特币的主要经济活动，即相互之间币的流通。唯有比特币的核心开发者们无法很好得参与到比特币的经济活动中来，并且也没有一个有效的保障体系来确保他们的利益。所以之后的虚拟货币开发者们采取了 ICO 的方式来确保自己有充分的经济活动地位。危险的是，这种方式让核心开发团队在经济活动和社会活动中占据了太大的优势，这使得开发团队成为了社区绝对的“国王”，而“国王的权利”是至高无上的。

英国第一位首相老威廉·皮特说过：“风能进，雨能进，国王不能进”。我们在保障最核心的团体（下文展开）在经济和社会结构的同时，也必须思考这条边界在哪里。国家这个高度复杂且有自律性的庞然大物尚且如此，何况当今社会几个人乃至仅仅十几个人组成的团体。罗马共和国和古希腊的历史告诉我们:

我们需要“国王”，但我们更需要“议会”！

2) 团队与组织

团体——或者说团队——越来越多的成为政治、经济、科研和其他活动当中的基本单位。我们认为组织是有复杂结构的团队。有着清晰的组织结构（社会结构的退化）和经济结构的团队（或组织），才会拥有较为稳定的发展和演进。我们注意到，在目前的区块链项目当中，往往只介绍了团队，而缺乏组织结构的部分。

组织虽然仅仅比团队多了更加复杂的结构部分，但正是这些结构提高了团队的决策效率和执行能力。我们注意到目前区块链社区比较火热的 Ethereum 和 EOS，其组织结构呈现集中化，比如 Ethereum 的 VitalikButeran 和 EOS 的 BM。虽然官方和当事人都没有具体提及到关于他们的组织信息，但是这种组织结构是不言而喻的。

如果说一个团队能够用某种技术去推动世界的改变的话，起初往往依赖于某个灵魂人物。而之后，则依赖于稳定有效的组织去完成。我们认为 Bitcoin core 团队和 Blockstream 在其后对比特币的推动上的乏力，正是由中本聪的光辉渐渐消失，并且同时没有形成一个可以自我生长演变的组织所导致的。

一个依托去中心化的系统来建立连接的自我生长的组织，做一个早期的区块链项目，看的不是这个项目团队的知名度和背景，更不是这个行业是否热门，而是他们构成的组织是否更有战斗力。

3) 小结

在考察了一些历史现象之后，结合我们今天在区块链经济活动领域的现象，我们应当充分明白，区块链项目活动必须有清晰的社会结构和经济结构：

社会结构：在基于区块链技术所诞生的社区中，代币的持有者如何分布，他们如何在社区中行使自己的权力，以及如何与社区中的其他角色互动。

经济结构：凝聚在代币中的经济资源如何被管理——这通常是投资货币（如以太坊）的使用问题。而新的社区往往并不成熟，总是会以更为成熟和通用的资源所定义， 比如用铜铸币。

当下，区块链募资活动以及他们所描述的景象，往往止于说明解决了什么问题，而这些募资活动又是作为一个生态去进行的。所以，在一个基于分布式系统建立的去中心化社区当中，它必须建立的是去中心化“宪法”——一个应该定义清楚了社区的角色和结构，以及他们的相互关系的文件。而建立一个编写宪法的组织基础，是一件比编写宪法更重要的事情。今天去建立去中心化“宪法”的事情，就和当初建立美国和编写美国宪法一样伟大。

1.2 价值：锚定、市场、价格

区块链社区一直在发币的锚定机制上摇摆不定。一方面，他们无法形成稳定的锚，因为他们需要一个无限可能的未来。另一方面，他们却又希望能够通过稳定的锚来获得收益（通常是法币）。讨论这个问题之前，我们必须去思考一个问题，货币稳定过吗？

答案显然是否定的，如果我们稍微把时间的尺度拉大，就会清晰的发现，如果以某种自然资源作为锚，法币同样也经历着巨大的涨跌幅。作为一个中国人，持有一个“袁大头” （一种20世纪初期的货币）也会享受当下几十倍的涨幅了。随着社会活动的变化比如战争、衰落和爆发，法币的本位机制一直在变动。但就其本质而言，货币的价值锚定的核心，不是外物，而是社会规则及其活动本身。社会规则甚至可以不定义一个实物来锚定货币的价值，比如央行的货币发行。在这种情况下，无论发行了多少货币，市场会调节，会让所有的商品得到定价。

市场似乎永远在变化，因为权力变得太快。

拥有优势的社会地位的人，似乎从来不需要担心货币问题。所以，货币或者说围绕货币的价值锚定，不应该是区块链这场轰轰烈烈大经济实验的核心。这个核心理应是区块链抑或分布式系统，以何种形式，更文明和民主地在更多领域去定义宪法——即经济结构和社会结构。而这个锚定只是其中的副产品——不过是一个副产物——它量化和凝聚了这种结构变化的原因。

我们希望将这一实质明晰的指出来，然后去践行这一理想，我们将对一个最简单的经济形式做尝试，即投资者和一个具有创造力的组织——比特兔团队。

1.3 实践：投票权委员会和中心权力团体

比特兔团队的理念很简单，我们需要一个委员会。

比特兔团队有着自己比较清晰的目标，即尝试用区块链的方式建立正确、受控的投资过程。在区块链的投资活动目前来看，可以分为两种:

简单的将股权投资搬到区块链上，区块链仅仅作为一个投融资工具来记录，这样的意义仅仅在于节省现在股权投资的成本而已。

粗犷的ICO模式，大家都说在泡沫中孕育希望，至于效果如何，不多赘述。

比特兔团队希望提出一种介乎于股权投资和ICO模式之间的新的投融资制度。在这里，双方的权力相互制约:

1. 投票权委员会（投资合伙人）有权管制政府的财务预算:

2. 投资人每个月决定该月团队可以提出的资金额度

3. 投资人有权投票降低甚至取消投资

4. 中心权力团体（团队）可以通过业绩承诺来提高预算: 可以承诺某个业绩数字来获得更大的该月预算，甚至，中心权力团体（团队）可以通过让渡部分经营权力来促进某事的达成。比如：

1. 提高席位价格
2. 扩大席位数量

我们会在附录中，明确该制度的议事法则和执行机制。

1.4 过渡的契约: 让智能合约具有法律效应

如果存在这样一个社区：她高度先进，她的规章制度由程序实现，我们所有人都遵守该规章制度作为共识，抑或该规章制度本身就是由所有人的共识产生的。这虽然非常理想，但并非完全不可能。如果在这种社区中，我们将很开心的写出一个类似公司章程的东西，并且所有的活动由这个规章程序来保证执行。经管这一社会看起来十分不可思议，然而，人类商业社会的高度发展，正是源于对契约精神的恪守。

契约精神不能仅仅依赖中心化的中心权力团体权威来保证，也必须能够在一个去中心化的体系中来执行。在我们的框架里:

1. 契约签订双方在一个不可变分布式存储系统里（ipfs）通过身份验证私钥加密并上传自己的法律身份文件: 包含一张身份证明照片，以及手持授权协议的照片。

2. 为了保证身份照片不乱用，利用防止光学伪造的水印算法在该照片上添加水印，水印信息为自己签署智能合约的公钥地址。

3. 契约签订双方交换私钥，确认对方身份。

4. 契约双方签署智能合约。

5. 如果某一方身份验证或者智能合约签署私钥丢失，可以发布新的 IPFS 身份证明并更换自己的授权协议。

6. 如果两者皆丢失，则需要想之前的合作伙伴通过联系后请求他们认可新的身份。在这里，我们利用授权协议保证了用户的私钥签名是具有法律效力，我们希望能够在真实的司法活动确认这一行为是有效力的。

以上，就是我们希望的去中心化合伙人制度。我们做了一些有益的尝试，尽管不是完全去中心化的，但是也许会成为智能合约具有法律效应的一次尝试。并且我们会邀请律师就这一新的方式进行相关法律上的操作。

附录:

规章和议事规则

去中心化合伙制度提出了一个规章用来约束去中心化合伙制度当中的行为。

1.服从智能合约。

2.服从智能合约非程序部分的效力。

3.服从智能合约的事件记录。

4.中心权力团体是合伙项目的发起方和执行者，负责项目的具体执行。

5.投票权委员会是所有拥有投票权的人，即相关的代币持有者，投票权的单位是票。

6.议题是一个二元命题，选项为是，否和弃权。

7.有必须议题和非必须议题。

8.必须议题是每个月必须讨论的议题，且必须议题至少包含是否清算项目议题。

9.清算项目议题是是否终止项目的议题，当投票权委员会中超过2/3的人投票并同意清算，项目停止，并根据清算条款进行清算。清算条款需通过智能合约强制执行。

10.待讨论议题由中心权力团体选出，并设置优先级，必须含有所有的必须议题。待讨论议题确定后，应通过日志函数发布在区块链上，并标号。

11.每个月至少召开一次会议，将讨论所有的待讨论议题。

12.议题的投票方式分为绝对多数和多数制，除清算项目议题外，由中心权力团体决定。

阿里针对新的Leader，会安排他们参加一个叫做“侠客行”的培训，培训的内容包括“管理的本质” “招聘解聘” “绩效考核”。有位老师引用过老子的话：“有道无术，术尚可求，有术无道，止于术”。意思是管理上有各种各样的工具，都只是“术”。如果生搬硬套各种“术”，无疑会导致管理上的失败。然而还有句话叫做“道可道，非常道”，“道”是不可能直接讲出来的，也不能直接传授。但同时“道”也是普遍存在于各种“术”中的，所以我觉得先通过学习“术”层面的东西，然后慢慢参悟其中的“道”。

过去我在自己创业的过程中，对管理小规模的创业团队（30人以下）中有一些自己的实践经验，也读过不少管理方面的书。但是我对于如何管理更大团队和处理复杂业务则毫无感性的认识，来阿里之后见识了这么大的组织之后，也对我的这个短板有所改善。

而当团队特别大的时候——比如上到100人以上——沟通协作就变得混乱而无序，对于管理者是一种挑战。为了让协作变得更有序，在组织结构和流程上必须进行调整，如拆分成更小的单元，设置新的层级，几个人一个小团队。但是这样依然在垂直和水平沟通上会有摩擦和信息不对称。为了解决这些问题，在团队管理上往往会应用到以下一些工具：周报，规划，绩效考核。

周报

在阿里的一年里，我逐渐适应了一种叫做“周报”的管理工具，类似的还有“日报”、“月报”，也就是定期将工作情况汇总给主管。据说有78%的公司使用这种管理工具，并形成制度。

虽然我认为周报对于小团队不一定适用，但是我觉得它确实是一个非常实用的工具。而且对于个人来说，定期回顾、反思、总结自己的工作，也可以让自己变得更加优秀。

一般而言，周报中首先应该把老板关心的内容汇总出来，对于技术开发来说，重点就是项目的进展的概况，项目目前进度如何，有什么风险，具体的时间点等等。而如果是运营和产品，则会将一些数据报表填入周报。对于特别紧急和老板关注的任务，有时候还要提高频率，变成日报等等。

周报的汇总是非常麻烦的，老板也会需要花很多时间来审阅。很多前辈为了缓解这个问题，为周报设计了各种不同的格式。确实根据不同的工作岗位也会需要量身定制。

然而作为一个历史悠久的管理工具，也存在着一些问题和很多没有与时俱进的地方。

1. 周报并不能替代其他当面的交流。团队大了之后，主管因为精力有限，往往只依赖周报来与下属进行沟通，同时大部分的周报只能形成单向的沟通，并不能直接给下属以有效的反馈。甚至有些主管干脆看都不看。这种疏忽往往让主管对下属的评估有失公正。同时，这种疏忽也在增加主管和下属之间的心理距离，对团队的凝聚力也有影响。另外，不仅仅是下属需要写周报汇总给主管，其实主管也需要汇总团队的周报反馈给所有成员。
2. 周报无法真正反应出过程。事实上在汇总工作的时候，一些重要的线索会被忘记或者被忽略。比如运营一个微博号，突然转发量大增，可能是因为正好撞上了大运被某个大 V 转发了，或者是碰上了某个事件。这些都不是团队成员的自身因素，虽然结果是好的，但是过程无法复制，所以找出产生结果的原因是很重要的。有经验的主管会让周报中体现出一些过程和员工自己的思考。然而有些事情是员工不愿意体现到周报中的，比如员工长期身体不适，导致效率下降，或者需求增加导致了加班。这样容易扭曲主管对下属和项目的评估，如工作效率、成本等等。
3. 周报可能存在真实性方面的问题。当然喜欢说谎的下属可能还属于少数，不过有不少下属喜欢报喜不报忧，或者含糊其辞。这些情况都需要主管去仔细判断，稍有偏差，就会导致整个团队出现问题。
4. 周报过于静态，不容易回溯和分析。主管需要从周报中掌握团队、项目的整体状态，然而周报往往只是汇总一周的情况，为了分析出更线索，主管往往还需要与之前的周报进行对比，所以一些使用邮件进行汇报的员工会喜欢使用引用将之前的周报附加在后面，方便主管进行查阅。省事的方式是主管可以通过找人询问来了解情况，然而这样做的话写复杂周报的意义又在哪里。这个问题我觉得应该可以通过一些产品创新来解决。
5. 周报的反馈频率决定了信息流动的时效性较差。当然对于紧急的事件可以通过别的渠道来反馈。

其实对于互联网公司一线开发而言，周报是非常令人讨厌的东西，因为大部分工作计划都已经确定，按分配的任务进行工作即可，同时互联网公司应用协作工具也非常普遍，于是常见的划水方式就是把 commit log 汇总一下，把 issue 汇总一下。主管如果看周报不仔细，为了了解情况需要频繁询问下属，这时候下属心里也会犯嘀咕：“难道我的周报你不看的吗？”长此以往最终的结果将会是周报流于形式。其实直接充分利用现在的各种协作工具就是省去很多麻烦，现在的工具也能提供很多报表和图志，对于管理者而言是很方便的。对于小团队来说，灵活应用看板一类的工具可以省掉大部分对周报的需求。但是我发现大老板们一般都不喜欢用这些协作工具，需要让一线Leader将各种工具中的信息进行汇总。

总而言之，周报只是多种管理工具中的一种，不能因为周报而放弃了如面对面沟通、周会等其他沟通手段。同时也应该根据团队的特质，对周报的内容格式进行适当的调整。

规划

过去我参加过很多创业公司，我发现创业公司的创始人对公司的远景目标是有的，但是当下怎么走却往往是迷茫的——包括我自己。以前我常常以“计划赶不上变化”，“船小好调头”作为借口，来逃避长远的规划，很多时候都是凭感觉和喜好去做事，走一步看一步。

在心态驱使下，创业团队的老板们容易朝令夕改，如果再没有良好的沟通， 容易让员工觉得老板反复无常，让员工会有无力感和挫败感，不利于团队的凝聚力。过去常常跟各种朋友聊天听他们吐槽老板的事情，常见的模板是：他曾提醒过老板项目/产品有某些风险、或者早早跟老板讲过一些想法，却被老板忽略了，最后出了事情却让下属背锅，因而对老板心生怨恨。

另一方面，老板通常掌握公司最全面的信息，而员工往往只能了解自己负责范围内的东西，这使得员工难于理解老板做事的意图，不利于最终的执行和想法落地，容易走样。

所以，为了能让团队统一目标，让上下级在目标上对焦，规划就是一个非常重要的工具。

规划并不是老板一个人闭门造车搞出来的。阿里经常会搞一些共创会，可以看成是一个比较高级的头脑风暴会议。通过共创会让大家充分交流现有的信息，会从各个角度，如技术发展、产业、商业等等，让大家对未来发表自己的看法。

产出的规划通常是一个 PPT 的形式，类似于找风投时用的商业计划书，会涵盖诸如愿景，市场分析，竞品分析，用户分析，组织结构和分工，预期目标，时间节点等等。

规划中有一个非常重要的组成部分叫做“大图”。无论有怎样的目标和计划，都可以细化和拆分，这样就会从不同维度细分出一块一块的内容。大图的好处是方便我们直观地看到所有的东西。比如有系统架构的大图，组织结构的大图等等。一方面这种大图，对于整个团队理顺思路和目标是非常重要的。尤其当大团队被切成不同的小团队的时候，水平沟通也会出现问题，这时候能有一份全局的大图，就方便大家去找到不同负责方向上的人——我们办公室的墙上就贴着巨大的 KT 板印着老板的规划图。

做规划的这个过程的重要性甚至大于规划本身，这个过程帮助大家思考各种资源、机会、风险，让大家达成一致。

绩效考核

毫无疑问，这是令很多人深恶痛绝的东西。在阿里它也没少给我压力，或许只有这样才能激发人的潜力吧

绩效考核分成两部分，一部分是定目标，另一部分是考核。定目标这部分要和前面所讲的规划结合起来，能在一段时间内告诉团队中每个人他的目标，而绩效考核里隐含的就是整个组织的目标和愿景。考核的目的是在于评估人和事的情况，找出短板，同时奖勤罚懒，优胜劣汰，激励员工，维持组织的活力。绩效考核无疑是操纵组织的最佳工具。

绩效考核——准确的说，是量化绩效考核——是一个非常结果导向的管理工具。量化的绩效考核最适合同质化的、固定的工作，比如流水线上的工人、销售等等。然而越是创新的复杂的领域，就越难量化，因为维度太多。就好比艺术作品是没有统一标准。

企业越大，层级越多，对于越是层级低的员工，绩效考核的作用就越明显——我相信是这一种权力的体现。因为对于大公司而言，可以通过组织结构把人当成可以随时替换的零件，那么那些没有达到预期的零件就可以且应当被即时替换掉。而对于大企业而言，只要能给出相应的待遇，企业并不愁招人——不差钱嘛。

反过来而对于小公司来说，招人就非常困难，小公司名气小、不稳定，也缺乏足够吸引人的资本，如薪水福利。同时因为小公司人员少，成员之间的分工就会更得加有弹性，这样团队成员就难以替代，最终的考核也难以进行量化。比如一个人也许人不够聪明，技术能力不强，但是为人和善，与业务方沟通良好，那么他在为业务方所做的努力值几分呢？而大公司不同，分工可以尽量细化，甚至像团队气氛这种虚的东西都可以有专门的人来负责。

理论上来说，在考核的过程中，主管必须力求公平公正。但事实上更多的时候就是凭感觉。凭感觉的话其实主管是非常轻松的，而且作为权力的延伸，反而能留下比较配合自己的下属，也许也是一种还不错的结果。

事实上，我相信在很多大公司中的各种小团队，高层也会出现类似的情况。彼此之间相当难以替代，即便其中部分成员业绩不佳，仍会因为一些特殊原因是的团体的Leader无法对这些成员随意进行替换，这种时候所谓的绩效考核只能流于形式而已。

阿里的绩效考核中，最残酷的地方是在于361的分布，即团队最多有30%的优秀，最少有10%的不及格，剩下60%合格——这些分数会跟年末的奖金、未来的晋升产生重要影响。其中特别是在于这个10%的差如何给出来，是令很多主管非常痛苦的事情。更更痛苦的地方是这种考核机制结合了末尾淘汰。所以阿里每年4月份年度考评之后在内网都会出现一些“神贴”，下属因为不满意考核结果而发帖撕主管。

在这种严厉的绩效考核体系下，最终结果往往是大家做事只看 KPI ，与自己 KPI 无关的事情则不喜欢过问。同时限制了大家去冒险、去创新——不过也许组织并不喜欢下层员工去进行冒险的事情。

那有没有更好的方案能能贯彻企业的愿景、为员工指明目标、激励优秀员工、淘汰不合格人员、维持组织的活力呢？目前目前来看没有更好的替代方案，所以即便被各种诟病，绩效考核依然是一种行之有效的手段。

以上是我来阿里一年学到的一些管理上的知识和自己的一些反思。从我学到的这些皮毛已经可以看出，阿里巴巴是一家伟大的企业。尽管我觉得存在一些问题，但我觉得这些问题无伤大雅，阿里的管理理念确实是非常行之有效的。

我从初中开始学习编程，当时懵懂地觉得将来要在互联网行业创出一番事业。但是由于当时没有做出一个周密的职业规划，所以我从大学毕业以来就一直混迹于创业小公司。而对于去大公司就职，我一直是拒绝的。此次变故也是被社会现实教育的结果。

个人在整个社会中是非常渺小的。原本我并不太在意房产之类的事情，从小孩出生开始，就逐渐发现自己缺乏各种社会关系。比如小孩3岁到了上幼儿园的年纪，在上海想就近上公立幼儿园则要求必须有户口、房产和居住证积分等等才能入园。但公司并不能帮我解决这些问题。

从长远来看，为了家庭考虑，买房是一个必须的选择，我也不能像原来创业一样承担那么多风险，必须有一份可靠的保障。这时著名的寒冬winter出现向我抛出了橄榄枝，最后我选择了加入阿里。

那为什么会做出这样的选择？

首先当然是杭州房价相对于上海比较低，其次杭州落户比较方便。不幸的是刚来杭州赶上G20，手又不够快，所以赶上一波房价暴涨；幸运的是赶在了杭州政府调控之前通过人才引进落户，否则落户买房也受限制。

除了这个现实问题之外，职业生涯规划的转变也是一个非常重要的因素。

过去选择创业公司，是因为在创业小公司做事有一些好处，比如空间会非常大，做事方式往往比较自由。在技术的选型、产品的设计等等都可以有话语权。

然而如果一个人，尤其是职场新人，一直待在小公司的话就会产生很多问题：

1. 小公司往往管理混乱，对于没有经过正规军训练的新人来说，很难理顺公司管理，而且长此以往，会令自己的工作习惯变得糟糕。
2. 创业小公司风险大，运气不好的小公司成长很慢，规模小，会错失很多成长机会。
3. 运气好的小公司成长很快，这时自己的经验往往跟不上，很多时候需要摸着石头过河，非常容易采坑。公司为了避免损失，需要外聘一些管理人员。然而当突然空降了其他管理人员之后，公司成员和新的管理人员必然有各种冲突和摩擦。

经过十年的创业摸爬滚打，可以说对于互联网创业的早期，我是轻车熟路的，从最初一个人做原型到带几个人搞作坊再到十来个人的准正规军甚至三四十人的技术团队管理，我都能轻松胜任。然而对于如何再往上发展，我感到很迷茫，似乎进入了一个瓶颈。现在即便再次创业，也只是把同样的经验重复几年，很难帮助团队进入一个新的高度。经过多方思考，我决心加入更大的平台，期望拓展自己的格局。

加入一家大公司的话则有很多好处：

1. 大公司的管理很成熟，有很多现成的工具。大公司的体系和经验可以直接拿来使用。
2. 大公司的履历相对更加容易被承认。能进去做事，肯定已经被大公司的团队认可了，他是一种标杆性质的存在。未来跳槽、融资都更有底气。
3. 大平台就会有更多的牛人与自己同事，可以更加多的交流和学习。
4. 个人的力量是渺小的，然而依托组织可以解决很多问题。像迁户口，公积金转移等等自己一个人跑可能要跑断腿的事情，组织就可以让专人去负责解决。阿里的福利还是很不错的。
5. 有更为稳定可靠的薪酬回报。

而阿里都能满足这些条件，如上文所说，过去我毕业的时候没有非常周密的职业规划，导致走了不少弯路，而现在的话，我强烈建议有能力的同学优先选择成熟的大公司，先锻炼几年，然后再考虑自己感兴趣的方向会比较好。希望这篇文章也能为在校考虑未来就业方向的同学有所启发。

没想到WordPress的安全性如此成问题，看来安全性还是必须从系统入手，不能光依赖WordPress本身。

一、禁用PHP的系统相关函数

首先经过检查，发现虽然篡改了PHP文件，甚至在tmp下面跑了一个进程，但似乎并没有渗透到系统级别，没有获得root权限，所以我立即在php.ini里面禁用了一些系统相关的函数，以防止被获得系统的权限


disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexi
ted,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_ws
topsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pc
ntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriorit
y,pcntl_setpriority,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,cu
rl_multi_exec,parse_ini_file,show_source


二、将WordPress目录下的文件权限改为root

为了防止PHP文件被插入恶意脚本，我将PHP文件都设置为只读，虽然这样会导致WordPress无法自动更新或者是自动安装插件，但要好过被篡改。然而uploads目录是必须要可以写入的，没有这个功能无法上传图片。


# chown -R root .
# chown -R www-data wp-content/uploads


三、禁止 uploads 目录中执行任何 PHP 脚本

在做了前两步之后，我发现依然有黑客可以上传脚本到 uploads 目录下，并通过远程请求调用执行，所以必须要禁止这个目录下的PHP脚本的运行。我在nginx中增加了一下配置


server {
listen 80;
server_name shiningray.cn *.shiningray.cn ;
root /var/www/shiningray;
index index.html index.htm index.php;
include /etc/nginx/php_params;
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
}


四、配置防火墙

当我还没配置第三步的时候，我通过 netstat 和 lsof 等指令调试系统的时候，发现PHP进程会连接到很多邮件服务器的25（smtp）端口，我想起来之前Linode客服所说的经常能发现我的服务器在投递垃圾邮件，原来是拿我当肉鸡发垃圾邮件。所以我觉得直接堵死smtp端口的连接，就可以断了他们的念想。

我使用Ubuntu的ufw来配置了端口的访问：

# sudo ufw reject out smtp
# sudo ufw reload

表示拒绝任何从本地发起到外部25端口的连接，使用 deny 替换掉 reject 也可以，但是 deny 是丢弃掉链接上发出去的包，而 reject 是直接断开链接。由于木马往往会反复不停的尝试，如果只是deny的话，可能会导致进程被堵死，所以最后选择了 reject

# sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
Anywhere                   ALLOW       192.168.133.108
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
443 (v6)                   ALLOW       Anywhere (v6)
80 (v6)                    ALLOW       Anywhere (v6)

25/tcp                     REJECT OUT  Anywhere
25/tcp (v6)                REJECT OUT  Anywhere (v6)

至此之后，再也没有感染过PHP的恶意脚本了。