Wiedererlangen der Kontrolle heißt in vielen Fällen: Neuinstallation. Speziell bei Befall durch Viren / Würmer oder bei Einbrüchen ins System ist dieser Schritt leider unvermeidlich. Die im vorigen Abschnitt beschriebenen Maßnahmen haben alle den Nachteil, dass die Ursache des Problems nicht entfernt wird. Das Entfernen von Hintertüren oder Würmern entfernt z.B. nicht die Schwachstelle, durch die der Einbruch ins System überhaupt erst möglich war. Auch kann man (besonders bei Kernel-Rootkits) nie ganz sicher sein, das sämtliche Hinterlassenschaften des Angreifers aus dem System entfernt wurden.
Die Neuinstallation sollte am besten offline, zumindest ohne Verbindung zum Internet durchgeführt werden. Das Risiko, dass das System schon während der Installation erneut angegriffen wird, ist zu groß. Auch sollte keine Upgrade-Installation durchgeführt werden, da evtl. Dateien des Angreifers erhalten bleiben. Die Partitionen sollten formatiert und anschliessend von Grund auf neu installiert werden. Man sollte sich versichert haben, dass ein funktionfähiges Backup des Systems existiert (so dass man den Status quo wieder herstellen kann) und nicht vom Angreifer zerstört wurde. Leider ist es immer möglich, dass Backdoors sich innerhalb der Userdaten etwa in Form von authorized_keys Dateien befinden. Deswegen sollten zumindest offensichtliche Kandidaten kontrolliert werden.
Neben der eigentlichen Neuinstallation sollte das Härten des Systems nicht vergessen werden. Dazu zählt nicht nur das Einspielen sämtlicher Sicherheitspatches, sondern auch die sichere Konfiguration der Dienste. Dabei darf Software von Fremdherstellern und auch selbstentwickelte Software nicht vergessen werden. Ganz besonders wichtig: Alle Passworte sollten geändert werden, sowohl lokal als auch innerhalb der Domäne, falls der Angreifer Zugriff auf die Passwort-Datenbank (LDAP-Server, KDC, Domain-Controller) hatte. Waren schwache Passworte die mögliche Ursache, sollte die Passwort-Policy entsprechend angepasst werden. Ebenso gefährdet sind Schlüssel zur Signatur oder Verschlüsselung, also X.509-, PGP- und SSH -Schlüssel. Werden diese nicht ebenfalls geändert, hat der Angreifer weiterhin Zugriff auf VPNs, E-mail, Web-Anwendungen oder GRID-Systeme.