Sécuriser et isoler le lieu du crime



Débrancher l'interface (ou les) réseaux de la machine
Si le système n'est plus en contact, le malfrat
                ne peut plus rien faire (sauf cron-jobs)

Si cela n'est pas possible, limiter les services fonctionnelles mais cela est dangereux
Stopper httpd,sendmail,IIS,RDP...