Se alguém relatar tráfego incomum da sua máquina, provavelmente você quer confirmar se ele está comprometido antes de seguir o caminho de lidar com um problema compromisso (resumo: reconstruir). Se o ataque suspeito estiver relacionado ao portscanning e outro tráfego semelhante a uma botnet, espelhe o tráfego para outro host que esteja executando um sniffer de protocolo e procure por algo não normal, que é basicamente qualquer coisa que não seja tráfego HTTP. Se você vê sinais de compromisso, então você sabe seguir o nuke do plano de órbita.