amoroder
Goto Top

Prozess finden, der sich mit dem Internet verbindet

Hallo,

aus dem Log der Firewall von Windows 2008 ( nicht R2 ) sehen wir, dass eine Anwendung versucht sich mit einer bestimmten Adresse im Internet zu verbinden. Aus der Logdatei geht leide rnicht hervor, welcher Prozess.
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Danke
Andreas

Content-Key: 183573

Url: https://administrator.de/contentid/183573

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: Neomatic
Neomatic 16.04.2012 um 11:30:15 Uhr
Goto Top
Hallo,

du könntest auf dem Server mal TCPView ausführen (gibts kostenlos von Microsoft). Da werden alle Prozesse inl. Port und Zieladresse angezeigt.

Gruß
Neomatic
Mitglied: Antos
Antos 16.04.2012 um 11:35:35 Uhr
Goto Top
Hallo,

der Microsoft Network Monitor eignet sich für so was auch gut.
Microsoft Network Monitor

Gruß

Antos
Mitglied: amoroder
amoroder 16.04.2012 um 11:41:26 Uhr
Goto Top
Hallo Antos,

ist der Networkmonitor so etwas wie Wireshark,d.h. er liest den Verkehr auf dem Netz mit ? Wenn dem so ist, wie weiß das Programm welcher Prozess den Verkeht generiert hat ?

Grüße
Andreas
Mitglied: danielfr
danielfr 16.04.2012 um 11:57:33 Uhr
Goto Top
Hallo, ein
netstat -ab
auf der cmd reicht evtl. schon.
Gruß Daniel
Mitglied: MrNetman
MrNetman 16.04.2012 um 12:01:15 Uhr
Goto Top
Der Sysinternal Process Explorer (von der Microsoft Website) ist schon mal ein guter Start einen Prozeß zu identifizieren. Er geht weiter als der Taskmanager. Dort hat man die Chance unter den "Spalten-Process Network" Auch die gesendeten und empfangen Bytes zu monitoren. Ein erster hinweis auf den im Klartext angezeigten Prozess.

Gruß
Netman

P.S: mit der eingeblendenten Spalte ist man nicht mehr auf schnelle Finger angewiesen.
Mitglied: amoroder
amoroder 16.04.2012 um 12:11:32 Uhr
Goto Top
Hallo Daniel,

was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn ich netstat ausführen wenn die Verbindung geschlossen ist ? Eher nicht.

Im Log der Firewall sehe ich Einträge alle 6 bis 8 Minuten.

Grüße
Andreas
Mitglied: mrtux
mrtux 16.04.2012 um 12:59:18 Uhr
Goto Top
Hi !

Zitat von @amoroder:
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn

Naja es gehört vor allem auch ein bisschen Erfahrung und Spürsinn dazu. Natürlich kannst Du auch Wireshark einsetzen, der ist für so eine einfache Aufgabe aber oftmals oversized, meistens genügen einfachere Methoden. Evt. ist auch nur die Firewall falsch eingestellt. In den meisten Fällen genügen die Möglichkeiten, die von den Kollegen oben schon erwähnt wurden z.B. mit Bordmitteln oder den Tools von Sysinternals.

Im Zweifel (dh. wenn Du den Übeltäter z.B. nur mit Wireshark finden kannst) würde ich einen Check auf Malware durchführen. Damit der aber auch einigermassen aussagefähig ist, solltest Du den Server (nach Feierabend) herunterfahren und den Scan offline mit einem Recuesystem durchführen.

mrtux
Mitglied: danielfr
danielfr 16.04.2012 um 16:11:06 Uhr
Goto Top
Ich würde mir einfach eine Batch schreiben, in dem der Befehl einige Male hintereinander ausgeführt wird und die Ausgabe in eine Textdatei umgeleitet wird. Ist quick and dirty, aber vermutlich wirst Du den Prozess irgendwann erwischen und kannst dann in Ruhe die Textdatei auswerten. Wenn das nicht klappt würde ich wohl auch einen der weitergehenden Tools nutzen...
Hast Du denn schon was rausgekriegt?
Mitglied: 106009
106009 16.04.2012 um 16:23:25 Uhr
Goto Top
Hi,
Zitat von @amoroder:
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Der Hinweis kam schon:
TCPView von Sysinternals. Updateinterval 1 Sekunde.
http://live.sysinternals.com/tcpview.exe (direkter Download der Exe-Datei von Microsoft/sysinternals !)

Wenn du erst mal Infos haben möchtest:
http://technet.microsoft.com/de-de/sysinternals/bb897437

Gruß
Mitglied: amoroder
amoroder 16.04.2012 um 16:47:09 Uhr
Goto Top
Hallo Daniel,

habe genau dies probiert, aber bisher den Prozess noch nicht "derwuschen" wie man in Südtirol so schön sagt, da ich netstart nur ein mal pro sekunde gestartet habe.

Grüße
Andreas
Mitglied: danielfr
danielfr 16.04.2012 um 20:25:48 Uhr
Goto Top
Hi Andreas,
dann schau doch mal mit den übrigen Vorschlägen hier, ob Du etwas herausbekommst. Du kannst ja auch mal den Logfile Eintrag herzeigen, das verrät doch normalerweise auch schon was.
War letzten Oktober bei Brixen.
Grüße in eine meiner Lieblingsurlaubsregionen
Daniel