最近有多个云服务器用户反馈新安装的centos 系统很卡，然而并未做什么。经过多方测试了解，发现有个 名为 work32 的进程在严重消耗资源。怀疑是挖矿病毒。

登陆系统后，使用 top 命令，可以看到 work32 进程稳稳的排在首位。如下图所示，请记住此程序的PID号。

work32病毒应该是自带暴力破解SSH登陆的模块，通过 netstat -an 命令看到中招的主机在登陆很多外部主机的SSH 端口

下一步，我们使用 ps -aux |grep work32 来查找病毒所在路径，可以看到所在目录 /user/.work/work32

直接用 killl -9 PID 杀掉病毒进程

最后用命令  rm -rf  /usr/.work/   删除掉病毒所在目录。

针对这种入侵，用户除了加强密码强度（建议大小写和数字混用，甚至包含特殊符号）之外 ，还要修改 SSh 默认的22端口。

如果有安装宝塔之类，可以后台很容易修改端口，甚至可以设置在不需要用远程登录的时候可以把 SSH端口在端口放行里删除。