Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Prozess finden, der sich mit dem Internet verbindet

Mitglied: amoroder

amoroder (Level 1) - Jetzt verbinden

16.04.2012 um 11:26 Uhr, 2848 Aufrufe, 11 Kommentare

Hallo,

aus dem Log der Firewall von Windows 2008 ( nicht R2 ) sehen wir, dass eine Anwendung versucht sich mit einer bestimmten Adresse im Internet zu verbinden. Aus der Logdatei geht leide rnicht hervor, welcher Prozess.
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Danke
Andreas
Mitglied: Neomatic
16.04.2012 um 11:30 Uhr
Hallo,

du könntest auf dem Server mal TCPView ausführen (gibts kostenlos von Microsoft). Da werden alle Prozesse inl. Port und Zieladresse angezeigt.

Gruß
Neomatic
Bitte warten ..
Mitglied: Antos
16.04.2012 um 11:35 Uhr
Hallo,

der Microsoft Network Monitor eignet sich für so was auch gut.
Microsoft Network Monitor

Gruß

Antos
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 11:41 Uhr
Hallo Antos,

ist der Networkmonitor so etwas wie Wireshark,d.h. er liest den Verkehr auf dem Netz mit ? Wenn dem so ist, wie weiß das Programm welcher Prozess den Verkeht generiert hat ?

Grüße
Andreas
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 11:57 Uhr
Hallo, ein
netstat -ab
auf der cmd reicht evtl. schon.
Gruß Daniel
Bitte warten ..
Mitglied: MrNetman
16.04.2012 um 12:01 Uhr
Der Sysinternal Process Explorer (von der Microsoft Website) ist schon mal ein guter Start einen Prozeß zu identifizieren. Er geht weiter als der Taskmanager. Dort hat man die Chance unter den "Spalten-Process Network" Auch die gesendeten und empfangen Bytes zu monitoren. Ein erster hinweis auf den im Klartext angezeigten Prozess.

Gruß
Netman

P.S: mit der eingeblendenten Spalte ist man nicht mehr auf schnelle Finger angewiesen.
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 12:11 Uhr
Hallo Daniel,

was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn ich netstat ausführen wenn die Verbindung geschlossen ist ? Eher nicht.

Im Log der Firewall sehe ich Einträge alle 6 bis 8 Minuten.

Grüße
Andreas
Bitte warten ..
Mitglied: mrtux
16.04.2012 um 12:59 Uhr
Hi !

Zitat von amoroder:
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn

Naja es gehört vor allem auch ein bisschen Erfahrung und Spürsinn dazu. Natürlich kannst Du auch Wireshark einsetzen, der ist für so eine einfache Aufgabe aber oftmals oversized, meistens genügen einfachere Methoden. Evt. ist auch nur die Firewall falsch eingestellt. In den meisten Fällen genügen die Möglichkeiten, die von den Kollegen oben schon erwähnt wurden z.B. mit Bordmitteln oder den Tools von Sysinternals.

Im Zweifel (dh. wenn Du den Übeltäter z.B. nur mit Wireshark finden kannst) würde ich einen Check auf Malware durchführen. Damit der aber auch einigermassen aussagefähig ist, solltest Du den Server (nach Feierabend) herunterfahren und den Scan offline mit einem Recuesystem durchführen.

mrtux
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 16:11 Uhr
Ich würde mir einfach eine Batch schreiben, in dem der Befehl einige Male hintereinander ausgeführt wird und die Ausgabe in eine Textdatei umgeleitet wird. Ist quick and dirty, aber vermutlich wirst Du den Prozess irgendwann erwischen und kannst dann in Ruhe die Textdatei auswerten. Wenn das nicht klappt würde ich wohl auch einen der weitergehenden Tools nutzen...
Hast Du denn schon was rausgekriegt?
Bitte warten ..
Mitglied: 106009
16.04.2012 um 16:23 Uhr
Hi,
Zitat von amoroder:
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Der Hinweis kam schon:
TCPView von Sysinternals. Updateinterval 1 Sekunde.
http://live.sysinternals.com/tcpview.exe (direkter Download der Exe-Datei von Microsoft/sysinternals !)

Wenn du erst mal Infos haben möchtest:
http://technet.microsoft.com/de-de/sysinternals/bb897437

Gruß
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 16:47 Uhr
Hallo Daniel,

habe genau dies probiert, aber bisher den Prozess noch nicht "derwuschen" wie man in Südtirol so schön sagt, da ich netstart nur ein mal pro sekunde gestartet habe.

Grüße
Andreas
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 20:25 Uhr
Hi Andreas,
dann schau doch mal mit den übrigen Vorschlägen hier, ob Du etwas herausbekommst. Du kannst ja auch mal den Logfile Eintrag herzeigen, das verrät doch normalerweise auch schon was.
War letzten Oktober bei Brixen.
Grüße in eine meiner Lieblingsurlaubsregionen
Daniel
Bitte warten ..
Ähnliche Inhalte
Windows Server
Remotedesktop verbindet sich nicht
Frage von specialuserWindows Server11 Kommentare

Servus, seit gestern haben wir Probleme mit der Remotedesktopverbindung komischerweise aber nur bei 2 Usern. Auf dem Terminalserver passen ...

Outlook & Mail

Outlook verbindet sich nicht mit dem richtigen Benutzer

Frage von seppmairhubrOutlook & Mail5 Kommentare

Hallo liebe administratorenkollegen, ich hab hier ein klitzkleines, unbedeutendes, aber nervendes problem. folgendes hatte ich gemacht: ein benutzer (Anton) ...

Microsoft Office

Office 2013 verbindet sich mit messaging.office.com

Frage von ukulele-7Microsoft Office1 Kommentar

Ich habe eigentlich kein völlig unbekanntes Problem, ich frage mich nur ob hier jemand Erfahrungen oder eine alternative Lösung ...

Windows Netzwerk

Netzlaufwerk verbindet nicht über VPN

gelöst Frage von spufi77Windows Netzwerk5 Kommentare

Hallo zusammen, meine Systemvoraussetzungen: FritzBox 7390, DNS eingetragen, integriertes NAS auf USB Stick, ein weiteres (echtes) NAS als "Exposed ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement12 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing10 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...