12
Wer startet Dienste auf dem Server neu
Hallo Zusammen,
auf einem Windows 2008 R2 Server sehe ich im Eventlog, dass alle 6 Stunden ein Dienst durchgestartet wird.
Ich sehe aber leider nicht warum dies passiert (Weder die Anwendung selbst noch ein geplanter Task auf dem entsprechenden Server tut dies).
Ich vermute einen net stop / net start von einem anderen Server - kann ich irgendwie herausfinden woher solche Kommandos kommen können?
Vielen Dank für eine kurze Hilfe!
Markus
auf einem Windows 2008 R2 Server sehe ich im Eventlog, dass alle 6 Stunden ein Dienst durchgestartet wird.
Ich sehe aber leider nicht warum dies passiert (Weder die Anwendung selbst noch ein geplanter Task auf dem entsprechenden Server tut dies).
Ich vermute einen net stop / net start von einem anderen Server - kann ich irgendwie herausfinden woher solche Kommandos kommen können?
Vielen Dank für eine kurze Hilfe!
Markus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 224636
Url: https://administrator.de/contentid/224636
Printed on: April 20, 2024 at 03:04 o'clock
12 Comments
Latest comment
Hi,
welcher Dienst denn?
Gruß
welcher Dienst denn?
Gruß
Ist eine spezielle Software (also kein Betriebssystemdienst)
Gut, du willst offenbar keine Hilfe.
Schönen Abend noch.
Gruß
Schönen Abend noch.
Gruß
Doch, ich dachte nur deine Frage zielt auf spezielle Dienste ab.
Heißen tut der Dienst fwsytemmngr.
Viele Grüße,
Markus
Heißen tut der Dienst fwsytemmngr.
Viele Grüße,
Markus
Hi,
3 Ideen:
1. Der Dienst tut das selbst. Kann man ja programmieren.
2. Der Dienst klappt Dir nach 6h ab, warum auch immer, und in den Dienst-Einstellungen unter "Wiederherstellung" ist eingetragen "Dienst neu starten"
3. Überwachung aktivieren und dann viel Spaß beim Lesen des Sicherheit-Eventlogs.
mfg
E.
3 Ideen:
1. Der Dienst tut das selbst. Kann man ja programmieren.
2. Der Dienst klappt Dir nach 6h ab, warum auch immer, und in den Dienst-Einstellungen unter "Wiederherstellung" ist eingetragen "Dienst neu starten"
3. Überwachung aktivieren und dann viel Spaß beim Lesen des Sicherheit-Eventlogs.
mfg
E.
Hallo und vielen Dank.
Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr - wäre schon sehr viel Zufall
)
Welche Überwachung wäre möglich? Meine Vermutung ist aktuell, dass auf irgendeinem Anderen Server ein geplanter Task läuft der mit netstop netstart meinen Dienst
steuert.
Vielen Dank,
Markus Aigner
Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr - wäre schon sehr viel Zufall
)Welche Überwachung wäre möglich? Meine Vermutung ist aktuell, dass auf irgendeinem Anderen Server ein geplanter Task läuft der mit netstop netstart meinen Dienst
steuert.
Vielen Dank,
Markus Aigner
Da du uns nicht verrätst was für ein Programm das sein soll wird das hier ein heilloses Rätselraten - für mich sinnlos. Sorry.
Gruß
Gruß
@ Xaero1982:
Der Dienst heißt fwsytemmngr - ist eine Entwicklung eines kleinen Unternehmens (friendWorks). Von Dort habe ich die Info, dass der Dienst sich nicht eigenständig startet.
D.h. für mich, dass auf einem anderen Server etwas läuft, dass diesen Dienst mit net stop / net start durchstartet.
Das würde ich gerne herausfinden. ich finde in keinen Eventlogs etwas und das Programm selbst protokolliert auch nicht.
Viele Grüße
Der Dienst heißt fwsytemmngr - ist eine Entwicklung eines kleinen Unternehmens (friendWorks). Von Dort habe ich die Info, dass der Dienst sich nicht eigenständig startet.
D.h. für mich, dass auf einem anderen Server etwas läuft, dass diesen Dienst mit net stop / net start durchstartet.
Das würde ich gerne herausfinden. ich finde in keinen Eventlogs etwas und das Programm selbst protokolliert auch nicht.
Viele Grüße
Gut, also was vollkommen unbekanntes.
Hast du die Taskplaner durchgesehen? Gibt es hier irgendwas?
Ansonsten kannst du es höchstens versuchen in dem du dir ein Programm wie Wireshark installierst und dir mal die Einträge ansiehst, ob irgendwer oder irgendwas aus dem Netz auf den Server zugreift zu dieser Zeit.
Knifflig ...
Gruß
Hast du die Taskplaner durchgesehen? Gibt es hier irgendwas?
Ansonsten kannst du es höchstens versuchen in dem du dir ein Programm wie Wireshark installierst und dir mal die Einträge ansiehst, ob irgendwer oder irgendwas aus dem Netz auf den Server zugreift zu dieser Zeit.
Knifflig ...
Gruß
ah, das tool ist schon mal ein tipp. Mal sehen ob ich das installieren darf.
Die Tasks am Server direkt habe ich geprüft, da ist nicht (daher mein verdacht, dass es ein entfernter Server ist - aber das können viele sein ;)
VIelen Dank!
Die Tasks am Server direkt habe ich geprüft, da ist nicht (daher mein verdacht, dass es ein entfernter Server ist - aber das können viele sein ;)
VIelen Dank!
Du könntest die Zugriffsberechtigungen für diesen Dienst einschränken auf Lokales System und lokalem Administrator (nicht die Gruppe "Administratoren"). Das kannst Du per GPO erledigen.
Dann das Passwort des lokalen Admins ändern.
Wenn jetzt remote ein Task läuft, dann sollte der nicht mehr das Recht haben, diesen Dienst zu starten. Also wenn der Dienst dann durchläuft, dann hättest Du wahrscheinlich Recht mit Deiner Vermutung.
Dann das Passwort des lokalen Admins ändern.
Wenn jetzt remote ein Task läuft, dann sollte der nicht mehr das Recht haben, diesen Dienst zu starten. Also wenn der Dienst dann durchläuft, dann hättest Du wahrscheinlich Recht mit Deiner Vermutung.
Hi,
Kann es sein, dass die unbekannte Software von sich aus updates macht (und sich dann neu startet) oder einen Watchdog hat, welcher amok läuft?
mfg
Cthluhu
Zitat von @skyscraber:
Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr -
wäre schon sehr viel Zufall )
Die geraden Uhrzeiten sind in der Tat verdächtig. Vor kurzem gab es hier auf administrator.de einen Betrag (finde den Link grad nicht mehr) in welchem der Virenscanner bei seinen regelmäßigen Updateversuchen probleme verursachte.Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr -
wäre schon sehr viel Zufall
)Kann es sein, dass die unbekannte Software von sich aus updates macht (und sich dann neu startet) oder einen Watchdog hat, welcher amok läuft?
mfg
Cthluhu
