Normalmente, um servidor comprometido é
- com backup como imagem para investigação adicional em um laboratório fechado
- recriada ou reinstalada / restaurada para manter a produção
Deixar uma máquina comprometida, mesmo que você aparentemente a limpe, em produção, não é uma prática segura