Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Netzwerk

Prozess finden, der sich mit dem Internet verbindet

Mitglied: amoroder

amoroder (Level 1) - Jetzt verbinden

16.04.2012 um 11:26 Uhr, 2837 Aufrufe, 11 Kommentare

Hallo,

aus dem Log der Firewall von Windows 2008 ( nicht R2 ) sehen wir, dass eine Anwendung versucht sich mit einer bestimmten Adresse im Internet zu verbinden. Aus der Logdatei geht leide rnicht hervor, welcher Prozess.
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Danke
Andreas
Mitglied: Neomatic
16.04.2012 um 11:30 Uhr
Hallo,

du könntest auf dem Server mal TCPView ausführen (gibts kostenlos von Microsoft). Da werden alle Prozesse inl. Port und Zieladresse angezeigt.

Gruß
Neomatic
Bitte warten ..
Mitglied: Antos
16.04.2012 um 11:35 Uhr
Hallo,

der Microsoft Network Monitor eignet sich für so was auch gut.
Microsoft Network Monitor

Gruß

Antos
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 11:41 Uhr
Hallo Antos,

ist der Networkmonitor so etwas wie Wireshark,d.h. er liest den Verkehr auf dem Netz mit ? Wenn dem so ist, wie weiß das Programm welcher Prozess den Verkeht generiert hat ?

Grüße
Andreas
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 11:57 Uhr
Hallo, ein
netstat -ab
auf der cmd reicht evtl. schon.
Gruß Daniel
Bitte warten ..
Mitglied: MrNetman
16.04.2012 um 12:01 Uhr
Der Sysinternal Process Explorer (von der Microsoft Website) ist schon mal ein guter Start einen Prozeß zu identifizieren. Er geht weiter als der Taskmanager. Dort hat man die Chance unter den "Spalten-Process Network" Auch die gesendeten und empfangen Bytes zu monitoren. Ein erster hinweis auf den im Klartext angezeigten Prozess.

Gruß
Netman

P.S: mit der eingeblendenten Spalte ist man nicht mehr auf schnelle Finger angewiesen.
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 12:11 Uhr
Hallo Daniel,

was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn ich netstat ausführen wenn die Verbindung geschlossen ist ? Eher nicht.

Im Log der Firewall sehe ich Einträge alle 6 bis 8 Minuten.

Grüße
Andreas
Bitte warten ..
Mitglied: mrtux
16.04.2012 um 12:59 Uhr
Hi !

Zitat von amoroder:
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn

Naja es gehört vor allem auch ein bisschen Erfahrung und Spürsinn dazu. Natürlich kannst Du auch Wireshark einsetzen, der ist für so eine einfache Aufgabe aber oftmals oversized, meistens genügen einfachere Methoden. Evt. ist auch nur die Firewall falsch eingestellt. In den meisten Fällen genügen die Möglichkeiten, die von den Kollegen oben schon erwähnt wurden z.B. mit Bordmitteln oder den Tools von Sysinternals.

Im Zweifel (dh. wenn Du den Übeltäter z.B. nur mit Wireshark finden kannst) würde ich einen Check auf Malware durchführen. Damit der aber auch einigermassen aussagefähig ist, solltest Du den Server (nach Feierabend) herunterfahren und den Scan offline mit einem Recuesystem durchführen.

mrtux
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 16:11 Uhr
Ich würde mir einfach eine Batch schreiben, in dem der Befehl einige Male hintereinander ausgeführt wird und die Ausgabe in eine Textdatei umgeleitet wird. Ist quick and dirty, aber vermutlich wirst Du den Prozess irgendwann erwischen und kannst dann in Ruhe die Textdatei auswerten. Wenn das nicht klappt würde ich wohl auch einen der weitergehenden Tools nutzen...
Hast Du denn schon was rausgekriegt?
Bitte warten ..
Mitglied: 106009
16.04.2012 um 16:23 Uhr
Hi,
Zitat von amoroder:
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Der Hinweis kam schon:
TCPView von Sysinternals. Updateinterval 1 Sekunde.
http://live.sysinternals.com/tcpview.exe (direkter Download der Exe-Datei von Microsoft/sysinternals !)

Wenn du erst mal Infos haben möchtest:
http://technet.microsoft.com/de-de/sysinternals/bb897437

Gruß
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 16:47 Uhr
Hallo Daniel,

habe genau dies probiert, aber bisher den Prozess noch nicht "derwuschen" wie man in Südtirol so schön sagt, da ich netstart nur ein mal pro sekunde gestartet habe.

Grüße
Andreas
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 20:25 Uhr
Hi Andreas,
dann schau doch mal mit den übrigen Vorschlägen hier, ob Du etwas herausbekommst. Du kannst ja auch mal den Logfile Eintrag herzeigen, das verrät doch normalerweise auch schon was.
War letzten Oktober bei Brixen.
Grüße in eine meiner Lieblingsurlaubsregionen
Daniel
Bitte warten ..
Ähnliche Inhalte
Windows 7
Wie finde ich den zugehörigen Prozess zu einer svchost.exe
gelöst Frage von leknilk0815Windows 74 Kommentare

Servus, möglicherweise wurde ähnliches schon gefragt, habe aber nichts gefunden Ich habe in meinem WIN7 manchmal bis zu 10 ...

LAN, WAN, Wireless
Wlan verbindet nicht
gelöst Frage von Giusi1LAN, WAN, Wireless12 Kommentare

Ich habe Zwei Cisco 1142N Autonom konfiguriert, auf dem Mobile kommen auch die Anmeldungs Credential User/Gast, aber er bezieht ...

Windows Server
Remotedesktop verbindet sich nicht
Frage von specialuserWindows Server11 Kommentare

Servus, seit gestern haben wir Probleme mit der Remotedesktopverbindung komischerweise aber nur bei 2 Usern. Auf dem Terminalserver passen ...

Outlook & Mail
Outlook verbindet sich nicht mit dem richtigen Benutzer
Frage von seppmairhubrOutlook & Mail5 Kommentare

Hallo liebe administratorenkollegen, ich hab hier ein klitzkleines, unbedeutendes, aber nervendes problem. folgendes hatte ich gemacht: ein benutzer (Anton) ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 20 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...