前半については特にどうということはないが、後半について少し考えてみる。matzさん自身は、仮に警告があった場合の動作パターンについて以下のように述べている。

我々は「警告者」が本当に警告だけだったのか、実際に侵入し、踏み台としての仕掛けを行っている「ほんとは悪いやつ」なのか区別がつけられない以上、結局は今回行ったのと同じようなホストの再構築を行う必要に迫られたであろう。

警告者のプロパティが不明である以上、この行動は納得できる。
警告者が悪意（踏み台にするなどの意図を持つなど）を持っているかいないか、脆弱性を警告するかしないかでとりあえず4つの分類が可能になる。悪意ある場合について考察してみよう。

• 警告者が踏み台にするつもりでCVS脆弱性をついて侵入し、そして黙っている

侵入者がそのホストを踏み台にするつもりならば、一番ありがちなパターンだろう。バレるまでの期間はやっぱり長いにこしたことはない。ちゃんと後始末をすれば、侵入そのものがバレない可能性もある。

• 警告者が踏み台にするつもりでCVS脆弱性をついて侵入し、脆弱性を警告（報告）する

特定のホストに対する脆弱性が報告された場合、相手に悪意があると仮定したら、あらゆるアクションが危険である。悪意があって、バレない期間が長くあるにこしたことがない場合でもそういう報告を「悪意ある者」が実施する場合、必ずその報告をする理由があるからだ。そしてその理由とは、「管理者にそのホストをどこからかアクセスさせ、操作させる」ということに他ならない。
もしかしたら異なるケースもあるかもしれないが、オレが悪い人ならば

• • そのホストの管理者がどこにいるかを把握する
  • そのホストの管理者が使ってるマシンが同種の脆弱性を持っているかどうかを確認する
  • そのホストの管理者情報を入手する
  • そのマシンから別のところに入れるかどうかを見る

というあたりをまず1つ考える。それこそ「釣り」である。生きてるマシンをチェックするためにnmapかけるよりももしかしたら効率的かもしれない。ピンポイントでターゲットを設定できるからだ。それも相手から情報を教えてくれる。

もし調査するならば、ネットワークから切り離した上で実施すべきだろう。ただ、改ざんの範囲によっては管理者ログインとともに何らかのトラップが発動する恐れもあるため、どういう方法をとるかは慎重になってもよいかも。

相手のプロファイルが見えない以上、善意か悪意かは（残念ながら）判断できない。結局は善意を判断するためにも、その侵入および痕跡に関する調査が必要となるんだよなぁ…。当人の首実検ができるのであれば話は早いんだけど…。