Una vez que el administrador ha sido apercibido del problema, en lineas generales los pasos a seguir serian:
Desconexi�n de la red o apagado del equipo, para evitar que el atacante pueda seguir accediendo al equipo, impidiendo que recupere la informaci�n que haya podido obtener sobre otras redes o intente borrar sus huellas, o inutilice (borrado o formateo) el equipo atacado.
Dado que el apagado del equipo pude provocar la perdida de informaci�n sobre el ataque (procesos que se est�n ejecutando, sesiones abiertas, etc.) muchas veces es preferible el filtrado completo/desconexi�n del equipo de la red, para as� proceder al an�lisis de estos datos.
No s�lo esto, el sistema puede haber sido modificado para que un apagado no esperado (o una desconexi�n de la red) borre todo el sistema de forma completa
Realizar una copia de seguridad a bajo nivel. Siempre que sea posible es conveniente realizar una copia de los datos del equipo a bajo nivel, de forma que se tenga la informaci�n completa del estado del sistema cuando se detecto el ataque. Si es posible el an�lisis posterior de los datos se deber�a realizar sobre la copia (con el equipo apagado/desconectado).
La copia debe hacerse siempre que sea posible empleando binarios compilados est�ticamente en otro equipo "fiable", para evitar que se empleen programas modificados por el atacante.
Estos datos se pueden enviar a los responsables de seguridad de la organizaci�n para que procedan a su an�lisis si el administrador no puede realizarlos.
Averiguar, examinando los datos disponibles, toda la informaci�n posible sobre el ataque: vulnerabilidad empleada por el atacante, logs que muestren los ataques, escaneos y conexiones del atacante, programas instalados, logs y datos que las herramientas que el atacante ha instalado, etc. Estos datos deben ser despu�s analizados para poder avisar a otros equipos que se han podido ver involucrados.
Proceder a restaurar el equipo. Volver a configurar el equipo, reinstalando el Sistema Operativo si es preciso, y aplicando los parches y configuraciones adecuadas para evitar que el ataque se vuelva a producir. En caso de existir cuentas de usuarios en el equipo es conveniente que se avise a todos los usuarios y que estos cambien sus cuentas, ya que el atacante puede haberse copiado el fichero de claves y proceder despu�s en su equipo a buscar claves d�biles para volver a entrar.
Avisar a los responsables de los equipos atacados o fuente del ataque, as� mismo notificar toda la informaci�n a los responsables de la organizaci�n (servicio de inform�tica, centro de calculo, etc.)
En la actualidad los ataques son "aleatorios" ya que �stos se producen buscando equipos que presenten una determinada vulnerabilidad, por lo tanto el atacante puede haber conseguido entrar en otros equipos situados en la misma red.
Suele ser conveniente adem�s contactar con los responsables de la red desde donde se produjo el ataque, ya que muchas veces se trata de equipos "trampol�n", si estos equipos son "limpiados" se consigue que la red sea "un equipo" m�s segura.