服务器突然很卡，查看 CPU 发现占用的很严重，只不过是一个闲置的机器怎么会这么高的实用？
top 后发现有一个莫名其妙的进程，一般就是乱七八糟字符组成的一个进程。
这时就找到了挖矿病毒的 PID，但是直接kill -9 PID杀死进程后就会发现不到1分钟的时间，就会有一个新的挖矿进程出现，因此这个挖矿进程肯定是被什么服务所启动的，接下来我们便需要找到这个服务并将其关闭。

关闭病毒启动服务

利用systemctl status PID来检查 systemd 管理的服务或者进程状态，来看一下该病毒到底是如何被启动的。
查看输出的CGroup段信息，可以看到一个后缀为.service的服务，该服务就是病毒的启动服务。

终止病毒启动服务

systemctl stop xxx.service

终止挖矿服务的开机自启

systemctl disable xxx.service 

杀掉挖矿进程

在关闭了挖矿病毒的启动服务之后，现在就可以将挖矿进程kill了。