Оцените, насколько опасен взлом и критична информация, которая могла подвернуться утечке.
Проверьте, сколько систем взломано.
Определите, возможно ли наблюдение за действиями взломщика или следует немедленно разъединить сетевой интерфейс.
Решите, кого нужно оповестить о взломе, стоит ли привлекать правоохранительные органы.
Традиционно для сохранения контроля над взломанной системой,
взломщики устанавливают т. н. rootkit - набор
программ (и иногда - модулей ядра), которые скрывают факт взлома
от системного администратора, обеспечивают доступ к системе или
позволяют расширить привилегии атакующего. Если у вас возникло
подозрение, что в системе установлен rootkit, попробуйте
проверить ОС с помощью
chkrootkit или
rkhunter.
Проверьте целостность файлов с помощью Tripwire/Aide.
Записывайте все происходящее. Если вы решили понаблюдать за взломщиком, отдавайте себе отчет, что он может это обнаружить и постараться уничтожить все следы. Убедитесь, что он не использует ваши сервера как трамплин для новых атак. Если вы следите за взломщиком командой, не пользуйтесь скомпрометированными ящиками электронной почты для координации своих действий.
С основными шагами по восстановлению системы можно ознакомиться в документе «Steps for Recovering from a UNIX or NT System Compromise», выпущенном командой CERT Coordination Center.
Если у вас нет возможности проводить расследование, переустановите OS с дистрибутива и восстановите данные из резервных копий.