เมื่อ hacker แสดงตัว ก็แสดงว่าเขาจะไปแล้วละ ถ้าเขาอยากได้อะไรก็คงเอาไปแล้ว
ก่อนอื่นก็เปลี่ยน password ระบบที่เกี่ยวข้องทั้งหมดก่อน
เพื่อไม่ให้เขา hack ไประบบอื่นของเรา
เมื่อเปลี่ยนเสร็จลองสำรวจดูว่าอะไรเสียหายไปมังเปล่า
หาดูว่ามันเข้ามาทางไหน เช่น ช่องโหว่ของ script ที่เราใช้
หรือ server เราใช้มีช่อง ลองหาข้อมูลจากพี่ goo ดูประกอบก็ได้
หลังจากนั้นก็ประเมินความเสี่ยง ดูว่าจะล้างระบบลงใหม่ หรือ จะใช้ต่อก็พิจารณา
ปกติผมก็ดูว่ามีอะไรสำคัญไหม ถ้าไม่สำคัญมากก็ใช้ต่อไป
ถ้าสำคัญก็ลงใหม่ แต่ต้องมั่นใจว่ามันจะเข้ามา hack เราอีกไม่ได้
ต้องอุดช่องโหว่นั้นเสียก่อน บางครั้งอาจต้องให้เจ้าของ host ช่วย