Het netwerk mag niet ook (nog verder) worden gecompromitteerd. Het systeem kan niet langer vertrouwd worden, dus moet het in quarantaine. Bovendien kunnen pogingen om het systeem opnieuw veilig te maken, ongedaan worden gemaakt als het nog steeds op het netwerk is aangesloten. Immers, langs die weg is het systeem ook gehackt, en automatische malware kan elke poging tot opschonen steeds opnieuw verijdelen. Als het systeem is geïsoleerd, kan het worden schoongemaakt. Daarbij is het nemen van aantekeningen onmisbaar om eventueel later de hacker te kunnen vinden. Harde schijven met gegevens moeten van het systeem af en moeten worden gebackupt. Backup-software gebruiken is een goed idee, maar niet als de software op het systeem staat. Hoe kwam de hacker binnen, op welke kwetsbare punten richtte hij zijn aanval? Het zijn vragen waarop een antwoord moet gevonden worden. Er zijn verschillende toolkits op de markt waarmee die antwoorden gevonden kunnen worden. De The Coroner\'s Toolkit (TCT) is er zo één. Het beste is de TCT te draaien vanaf een CD of DVD. Een goed idee is om een belangrijke hack te rapporteren bij de plaatselijke CERT-teams. Daarna kan het systeem opnieuw worden ingericht. Een nieuw besturingssysteem kan het beste op een geformatteerde harde schijf worden geplaatst, omdat een gecompromitteerde machine compleet onbetrouwbaar is geworden en omdat de beheerder geen flauw idee heeft van wat er precies allemaal is aangetast. Zelfs al wordt een aantal bestanden gevonden dat kan worden hersteld, dan nog kunnen er honderden aan de aandacht zijn ontsnapt. Met behulp van de analyse met TCT en de aantekeningen die werden genomen nadat de indringing werd ontdekt, kan een nieuw OS idealiter zo worden geconfigureerd dat de ontdekte hack moeilijker of onmogelijk wordt. De gegevens op een Linux-systeem zijn niet zo kwetsbaar als op een Windows-machine, maar toch moet de nodige voorzichtigheid worden betracht. De backups zelf kunnen immers ook aangetast zijn. Het beste is daarom oudere backup kopieën te gebruiken die op onwisbare media staan, zoals cd-r of dvd. Backup-media die herschrijfbaar zijn -- zoals tapes -- kunnen zelf ook gecompromitteerd zijn. Daarom ook verdienen ascii-bestanden de voorkeur boven binaire. Als alles klaar is, kan het systeem opnieuw online geplaatst worden. Om dat effectief te doen, is het een goed idee om eerst te controleren of de aanval niet nog steeds aan de gang is. Aanvallen kunnen ook een tijdlang uitgesteld worden om dan in alle hevigheid later weer te worden aangevat. Het opvolgen van het netwerk en de voorheen gecompromitteerde systemen voor een wat langere periode na de eerste aanval is daarom altijd een goed idee. Bron: Techworld