1、恶意程序排查1.1、网络排查使用命令netstat -tunlap发现ID是512、名称是work32的进程在连接大量公网IP的22端口（使用命令netstat -tunlap | grep ":22" | wc -