本文是首发于个人微信公众号的文章“TB一周萃选[第8期]”的归档。

再看看那个光点，它就在这里。那是我们的家园，我们的一切。你所爱的每一个人，你认识的每一个人，你听说过的每一个人，曾经有过的每一个人，都在它上面度过他们的一生。我们的欢乐与痛苦聚集在一起，数以千计的自以为是的宗教、意识形态和经济学说，所有的猎人与强盗、英雄与懦夫、文明的缔造者与毁灭者、国王与农夫、年轻的情侣、母亲与父亲、满怀希望的孩子、发明家和探险家、德高望重的教师、腐败的政客、超级明星、最高领袖、人类历史上的每一个圣人与罪犯，都住在这里——一粒悬浮在阳光中的微尘。

但在浩瀚的宇宙剧场里，地球只是一个极小的舞台。

——卡尔·萨根 《暗淡蓝点》

笔者注：那个光点所指的是1990年旅行者1号于距地球64亿公里处最后一次回望母星的照片中的地球，它只是一个占用2-3个像素的光点。

这一周，我们被“超级月亮”、“红月亮”、“月全食”等关键字刷屏了。月全食并不是稀罕物，据说一般2年就会有一次，而且由于是体格巨大的地球遮住月球，因此可观赏的地域也是很广阔的，与稀罕的日全食有大不同。这次月全食的特殊之处在于月亮恰位于公转的近地点，看起来大一些罢了。即便大，也有很多人不屑去看，但更多的人选择关注这个事件，并抽空儿抬头瞄上两眼，还有一部分更为执着的天文爱好者们冒着严寒，移步到远离市区的户外，就为了能最大程度降低城市光污染对观赏的影响。

对地外星体或天文现象的关注，古人早已有之。只是古代人不明其理，以神秘或神灵释之。究其深层原因？人类为何从古自今保持对地外事物的关注，仅仅是看客？仅仅是好奇么？从每个个体的角度来看也许是这样，但从人类文明整体的角度来说，这是根植于我们人类古老的基因所决定的：人类社会终极目标就是要不断的生存和繁衍下去，世世代代，子子孙孙无穷尽也。古时人类即是如此，但苦于能力不足，无法将手臂伸到地球之外。但随着人类文明演化和发展，尤其是当人类科技发展突飞猛进之后，人类逐渐意识到：“地球也许是我们的第一个家，但可能不是我们唯一的家”。“人类生存和繁衍”的使命促使着人们不断地走出地球，其第一要务就是找到合适人类生存的第二家园或更多家园，附带的任务可能是为人类在茫茫的宇宙星海中找到其他“邻居”。

只是和科幻片中的宇宙探索进展相比，现实中的我们的进展还是太缓慢了。

一、一周文章精粹

1. 写Go代码时遇到的那些问题[第2期]

年前开启写的一个Go coding系列，这里广告一下。第2期内容关注了dep的日常工作流、“超时等待退出”框架的一种实现以及Go testing中的fixture的setUp和tearDown，欢迎交流。

文章链接：“写Go代码时遇到的那些问题[第2期]“

2. 使用不到200行Go代码实现你的区块链

2017年以来，随着比特币价格的爆发，区块链技术热度也逐渐走强。对于技术人来说，区块链是什么不能仅停留在口头上，Show your code更重要。这篇文章旨在以Go代码从头开始实现一个简易区块链的demo，目的是帮助你理解区块链背后的原理。

文章链接：“Code your own blockchain in less than 200 lines of Go!”

3. “The Good Way to REST”系列

自从Roy Thomas Fielding在他2000年的博士论文中提出了REST(REpresentational State Transfer)设计原则后，RESTful架构一度在Web Service的领域占据了大片领地，直到近几年RPC的兴起，RESTful才有了一副“过气网红”的样子。总体来说，RESTful已是一门成熟的设计技术原则。REFINERI咨询师Berat Daglar撰写了三篇文章，对REST的概念、原理机制以及发展过程进行了介绍和总结：

文章链接：
* “The Good Way to REST: Introduction”
* “The Good Way to REST: Core Values And Mechanics”
* “The Good Way To REST: Road to Maturity”

4. Apollo 2.0框架和源码分析(一)

Baidu的Apollo自动驾驶平台一经发布就受到了广泛的关注。其最新Apollo 2.0更是具备了实现简单城市道路自动驾驶的能力。

知乎专栏上的这篇“”文章为大家详细介绍了Apollo 2.0软硬件框架结构。但源码分析还要等后续部分出炉。

文章链接： Apollo 2.0框架和源码分析(一)

5. Go package import全面总结

Go基础知识范畴，该文对Go中各种形式的import用法进行了梳理，初学者可以看看。

文章链接：“Go tips and tricks: almost everything about imports”

二、一周资料分享

1.远程工作指南

在这个网络时代，远程工作的方式越来越多的被很多个人和公司所青睐，其尤其适合程序猿、撰稿人等以计算机为工具进行“创作”的键盘族，一台电脑+一根网线（一个无线路由）足矣。remote working形式还尤其适合“松耦合”、初期无固定办公场所的初创公司。

但对于一个公司或组织而言，采用远程工作的方式还是有一定挑战的：比如：如何招聘到正确的人、高效沟通、有效管理、远程工作文化的建立等。这些都可以从下面这份远程工作指南的资料中找到。

资料链接：“远程工作指南”

2. Hacker 101指南

“安全”永远是影响广泛但从业人员又相对小众的领域。对于一般开发者而言，“安全”永远是被最后考虑的topic，而所谓的安全问题又都是开发者“一手造就”的，这似乎是一个死结。

hacker101.com网站推出了free的web安全视频课程，从名字中的“101”我们也可以知道这是一个入门课程，课程包括会话安全和漏洞两大主题，值得一看。

资料链接：“Hacker 101 Guide”

三、一周工具推荐

1. vscode+vscode-go+vscodevim组合

再吹一波vscode!

之前曾写过一篇文章《使用Visual Studio Code辅助Go源码编写》，那个时候我依然以Vim为主，vscode为辅。不过当时在文章中我就提到过vim结合vim-go在我的机器上存在的一些问题：比如save文件时非常慢、光标移动后光标下的字符显示异常等。这些问题我个人猜测与vim-go使用的相关插件的性能有关，也许也和我的单一GOPATH目录下go packages过多有关。不过，无论怎样，vim下写Go代码的体验日益糟糕。

因此在这两个月编码较多、task较为急迫的情况，我切换到了“vscode+vscode-go+vscodevim”组合，这以后除了因gocode偶尔崩溃导致的自动补齐失效(可以重启gocode解决：gocode close;gocode)之外，基本没有遇到什么较大问题。

可以说vscode为多种编程语言的程序员之间提供了一种通用的“工具”语言。可惜在android mobile或pad上无法使用vscode。

工具链接：vscode

四、一周图书推荐

1.《Designing Distributed Systems – Patterns and Paradigms for Scalable, Reliable Services》

Brendan Burns目前是微软azure的技术工程总监，但其更响亮的title是之前在Google Cloud Platform工作时和Joe Beda、Craig McLuckie一起发起了Kubernetes开源项目，开启了分布式计算的新时代。

近期Brendan Burns刚刚发布了自己的新书《Designing Distributed Systems – Patterns and Paradigms for Scalable, Reliable Services》。在书中，Brendan Burns借用软件设计模式的概念阐述和总结了构建一个可靠、可扩展的分布式系统时可能使用到的一些“模式”：

• 单机模式(Single-Node Patterns)
  • 边车模式 (Sidecar Pattern)
  • 大使模式 (Ambassador Pattern)
  • 适配器模式(Adapter Pattern)
• 服务模式(Serving Patterns)
  • 带负载均衡的多副本无状态服务(Replicated Load-Balanced Services)
  • 分片服务(Sharded Services)
  • 分散/聚集(Scatter/Gather)
  • 函数即服务和事件驱动处理(Functions and Event-Driven Processing)
  • 分布式选主(Ownership Election)
• 批处理计算模式(Batch Computational Patterns)
  • 工作队列系统(Work Queue Systems)
  • 事件驱动批处理(Event-Driven Batch Processing)
  • 协作批处理(Coordinated Batch Processing)

该书完全面对基于容器以及容器调度管理平台的构建的分布式系统，是云原生时代不可多得的技术参考书。该书由O’Reilly出版，目前在azure的站点上可以免费下载。

图书链接：《Designing Distributed Systems 》

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

我的联系方式：

微博：http://weibo.com/bigwhite20xx
微信公众号：iamtonybai
博客：tonybai.com
github: https://github.com/bigwhite

微信赞赏：

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作

记得前些日子，我在Blog评论里发现有人说我的Blog站点被黑：

"YOUR SITE HAS BEEN HACKED – THERE ARE PARASITE PAGES IN http://tonybai.com/dl SECURE YOUR SITE!!!"

粗浅检查了一番，没有发现什么异常，也就没把这事当回事儿。

昨天上Gmail(由于需要搭梯子，不经常登录)，发现一位网友发来mail说我的站点被入侵了，还附上了google search结果的截图：

接着我也发现了google webmaster发来的mail，同样是警告我的博客站点被黑，并给出了两个可疑URL：

http://tonybai.com/dl

http://tonybai.com/dl/call-of-duty-4-modern-warfare-crack-download-tpb.html

我自己访问了一下上述URL，我靠！果然被黑了。

以前blog站点无论是搭建在dreamhost上还是朋友的主机上时都未出现过被黑的情况，这次在DO上居然被黑，之前没有解决类似问题的经验，这次只能从头摸索。

看了几篇解决wordpress被黑问题的文章，都推荐先安装几个安全插件对site进行扫描，于是我就试了两个：iThemes Security和Wordfence Security。前者似乎有问题，安装后，dashboard页一片空白。Wordfence Security还好，只是每次scan都无法finish，也就无法得到到底哪些wordpress文件被感染的结果。

插件不可靠，只能自己“手工”解决了。

首先到server上利用find , ls等命令对比时间，发现是否有哪些文件的最近访问时间戳与其他文件有差异。不过search了半天，也没发现半点痕迹。

网上还推荐用文件比对工具，比对现在的wordpress文件与backup的文件异同。多亏有backup插件的备份包，于是下载了20150326和20150409的backup zip，使用beyond compare进行目录比对。不比不知道，一比吓一跳啊：index.php文件时间戳相同，但内容居然不同。

0409中的index.php的头部居然多了一段代码：

<?php $V3a3xH8="JQAgHfEmQKV+JuR5Y38ZdWofSxp4PSPn00uzTC

….

….

($CdFxbnu0g($nGXNegRe($dvXZv9($cDjofDA))));?>

显然这就是入侵代码了。删除这段代码，重启apache2，试试再访问以下上述那两个URL。结果是令人悲伤的，页面居然还能正常打开和显示。我第一时间想到的是浏览器和apache2的缓存。

强制刷新brower，无用。

查找apache2关于Cache的配置，发现一个：/etc/apache2/mods-available/cache_disk.conf

其内容：
<IfModule mod_cache_disk.c>

        # cache cleaning is done by htcacheclean, which can be configured in
        # /etc/default/apache2
        #
        # For further information, see the comments in that file,
        # /usr/share/doc/apache2/README.Debian, and the htcacheclean(8)
        # man page.

        # This path must be the same as the one in /etc/default/apache2
        CacheRoot /var/cache/apache2/mod_cache_disk

        # This will also cache local documents. It usually makes more sense to
        # put this into the configuration for just one virtual host.
        #CacheEnable disk /

    # The result of CacheDirLevels * CacheDirLength must not be higher than
    # 20. Moreover, pay attention on file system limits. Some file systems
    # do not support more than a certain number of inodes and
    # subdirectories (e.g. 32000 for ext3)
    CacheDirLevels 2
    CacheDirLength 1

</IfModule>

查看CacheRoot，发现/var/cache/apache2/mod_cache_disk下是空的。显然并未缓存。

难道还有其他位置为hacked了？难道0326的backup也是被hack过的？

于是我翻箱倒柜，在电脑里发现了20150101的backup，用这个Backup和0409又对比了一次，这回发现了另外一个被hack的文件：.htaccess。

.htaccess中多了这么一行代码：
RewriteRule ^dl/(.*)$ wp-add.php [L]

原来入侵的人或程序总共在我的主机上做了多处修改，这里总结一下：

1、.htaccess中增加一行规则
2、添加wp-add.php
3、修改了index.php
4、修改了wp-includes/theme-compat/header.php
5、修改了wp-content/themes/xx/header.php和footer.php

我ls了一下0409下的文件：

-rw-r–r–    1 tony  staff      4343 11 28 04:01 wp-activate.php
-rw-r–r–    1 tony  staff      1991 11 28 04:01 wp-add.php
drwxr-xr-x   89 tony  staff      3026  4  9 11:00 wp-admin/
-rw-r–r–    1 tony  staff     40243 11 28 04:01 wp-app.php

可以看出入侵代码在添加文件之后，对文件时间做了调整，让简单的时间戳对比无法揪出这个罪魁。

去除以上入侵代码后，上述可以网址就无法访问了。

在google webmaster提交request，期望google 早日将搜索结果中的"此网站可能遭到黑客入侵"标签去掉。

之后将密码修改了一遍，希望后续能免疫。

后记：
根据朋友建议，将blog的文件用git管理起来，并push到bitbucket的private repository中，这样一旦再被hack，恢复起来也较为方便。
步骤如下：
1、在/var/www目录下git init
2、git add ./
3、git commit -m”initial import” ./
4、git remote add origin https://user@bitbucket.org/user/blog.git
5、git push origin master