Gyakran megváltoztatott file-ok: binárisok: login, su, netstat, ps, who, stb. config file-ok: /etc/passwd, /etc/group, /etc/shadow, /etc/securetty, /etc/ssh/sshd_config, /etc/hosts*, name szerver config file-ok, stb.
Töröljünk minden gyanús, nem a rendszerhez tartozó file-t. Ajánlott az összes olyan könyvtár átnézése, ahonnan program futtatható. (A /dev-et se hagyjuk ki!) Ellenőrizzük az összes setuid/setgid jogosultságot használó programot.
Minden log-ot mentsünk. Később ezekből talán visszanyerhető némi információ a betörő kilétéről vagy a támadó gép címéről, esetleg a feltört szolgáltatásról vagy a törés módjáról. Ezeket az információkat célszerű a security-l listán közölni, hogy másoknál ne tudjon próbálkozni az illető. A lista zárt, feliratkozni a majordomo@sunserv.kfki.hu címen lehet 'subscribe security-l sajátnév' szöveggel a levél törzsében. Ezután jöhet az összes jelszó megváltoztatása, az userek értesítése.
A log-ok elemzése során a gyanús címeket azonnal tiltsuk ki (/etc/hosts.deny vagy firewall), majd tájékoztassuk adminisztrátoraikat, mivel lehetséges, hogy az ő gépüket is ugródeszkaként használta valaki.
Ha már biztosak vagyuk abban, hogy mindent átnéztünk, nézzük át még egyszer a rendszert. Ha még mindig rendben van, visszakapcsolhatjuk a hálózatra.