A betörés észlelése után azonnal válasszuk le a hálózatról a gépet! Így a támadó a jelenleginél nagyobb kárt már nem tud okozni. Aztán jöhet a rendszerfile-ok átnézése a tripwire log alapján. Minden megváltozott binárist le kell cserélni, config file-okat, firewall rule-okat felülvizsgálni. Ha nem volt tripwire a gépen, ajánlott a rendszert újratelepíteni, mivel átnézése komoly erőfeszítést igényelhet, a behatoló tevékenységétől függően, illetve szinte biztosra vehető, hogy nem találunk meg minden trójai/backdoor/sniffer programot.
Gyakran megváltoztatott file-ok:
Töröljünk minden gyanús, nem a rendszerhez tartozó file-t. Ajánlott minden könyvtár átnézése, ahonnan program futtatható. (A /dev, /boot, /var, stb. se maradjon ki!) Ellenőrizzük a setuid/setgid-es programokat, majd változtassuk meg az összes account jelszavát.
Minden log-ot mentsünk. Később ezekből talán visszanyerhető némi információ a betörő kilétéről vagy a támadó gép címéről, esetleg a feltört szolgáltatásról vagy a törés módjáról. Ezeket az információkat célszerű a security-l[42] listán közölni, hogy mások megelőző intézkedéseket tehessenek.
Célszerű menteni a megváltoztatott programokat is, mivel lehetséges, hogy egy eddig ismeretlen hibát kihasználva törték fel a gépet. Ebben az esetben pedig a hiba kiderítéséhez minden adat jól jön.
A log-ok elemzése során feltűnő gyanús címeket azonnal tiltsuk ki (hosts.deny vagy firewall), majd tájékoztassuk adminisztrátoraikat, mivel lehetséges, hogy az ő gépüket is ugródeszkaként használta valaki.
Ha már biztosak vagyunk abban, hogy mindent átnéztünk, nézzük át még egyszer a rendszert. Ha még mindig rendben van, visszakapcsolhatjuk a hálózatra.