Una vez que el administrador ha sido apercibido del problema, en lineas generales los pasos a seguir serian:
Desconexión de la red o apagado del equipo, para evitar que el atacante pueda seguir accediendo al equipo, impidiendo que recupere la información que haya podido obtener sobre otras redes o intente borrar sus huellas, o inutilice (borrado o formateo) el equipo atacado.
Dado que el apagado del equipo pude provocar la perdida de información sobre el ataque (procesos que se están ejecutando, sesiones abiertas, etc.) muchas veces es preferible el filtrado completo/desconexión del equipo de la red, para así proceder al análisis de estos datos.
No sólo esto, el sistema puede haber sido modificado para que un apagado no esperado (o una desconexión de la red) borre todo el sistema de forma completa
Realizar una copia de seguridad a bajo nivel. Siempre que sea posible es conveniente realizar una copia de los datos del equipo a bajo nivel, de forma que se tenga la información completa del estado del sistema cuando se detecto el ataque. Si es posible el análisis posterior de los datos se debería realizar sobre la copia (con el equipo apagado/desconectado).
La copia debe hacerse siempre que sea posible empleando binarios compilados estáticamente en otro equipo "fiable", para evitar que se empleen programas modificados por el atacante.
Estos datos se pueden enviar a los responsables de seguridad de la organización para que procedan a su análisis si el administrador no puede realizarlos.
Averiguar, examinando los datos disponibles, toda la información posible sobre el ataque: vulnerabilidad empleada por el atacante, logs que muestren los ataques, escaneos y conexiones del atacante, programas instalados, logs y datos que las herramientas que el atacante ha instalado, etc. Estos datos deben ser después analizados para poder avisar a otros equipos que se han podido ver involucrados.
Proceder a restaurar el equipo. Volver a configurar el equipo, reinstalando el Sistema Operativo si es preciso, y aplicando los parches y configuraciones adecuadas para evitar que el ataque se vuelva a producir. En caso de existir cuentas de usuarios en el equipo es conveniente que se avise a todos los usuarios y que estos cambien sus cuentas, ya que el atacante puede haberse copiado el fichero de claves y proceder después en su equipo a buscar claves débiles para volver a entrar.
Avisar a los responsables de los equipos atacados o fuente del ataque, así mismo notificar toda la información a los responsables de la organización (servicio de informática, centro de calculo, etc.)
En la actualidad los ataques son "aleatorios" ya que éstos se producen buscando equipos que presenten una determinada vulnerabilidad, por lo tanto el atacante puede haber conseguido entrar en otros equipos situados en la misma red.
Suele ser conveniente además contactar con los responsables de la red desde donde se produjo el ataque, ya que muchas veces se trata de equipos "trampolín", si estos equipos son "limpiados" se consigue que la red sea "un equipo" más segura.