Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Prozess finden, der sich mit dem Internet verbindet

Frage Microsoft Windows Netzwerk

Mitglied: amoroder

amoroder (Level 1) - Jetzt verbinden

16.04.2012 um 11:26 Uhr, 2815 Aufrufe, 11 Kommentare

Hallo,

aus dem Log der Firewall von Windows 2008 ( nicht R2 ) sehen wir, dass eine Anwendung versucht sich mit einer bestimmten Adresse im Internet zu verbinden. Aus der Logdatei geht leide rnicht hervor, welcher Prozess.
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Danke
Andreas
Mitglied: Neomatic
16.04.2012 um 11:30 Uhr
Hallo,

du könntest auf dem Server mal TCPView ausführen (gibts kostenlos von Microsoft). Da werden alle Prozesse inl. Port und Zieladresse angezeigt.

Gruß
Neomatic
Bitte warten ..
Mitglied: Antos
16.04.2012 um 11:35 Uhr
Hallo,

der Microsoft Network Monitor eignet sich für so was auch gut.
Microsoft Network Monitor

Gruß

Antos
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 11:41 Uhr
Hallo Antos,

ist der Networkmonitor so etwas wie Wireshark,d.h. er liest den Verkehr auf dem Netz mit ? Wenn dem so ist, wie weiß das Programm welcher Prozess den Verkeht generiert hat ?

Grüße
Andreas
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 11:57 Uhr
Hallo, ein
netstat -ab
auf der cmd reicht evtl. schon.
Gruß Daniel
Bitte warten ..
Mitglied: MrNetman
16.04.2012 um 12:01 Uhr
Der Sysinternal Process Explorer (von der Microsoft Website) ist schon mal ein guter Start einen Prozeß zu identifizieren. Er geht weiter als der Taskmanager. Dort hat man die Chance unter den "Spalten-Process Network" Auch die gesendeten und empfangen Bytes zu monitoren. Ein erster hinweis auf den im Klartext angezeigten Prozess.

Gruß
Netman

P.S: mit der eingeblendenten Spalte ist man nicht mehr auf schnelle Finger angewiesen.
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 12:11 Uhr
Hallo Daniel,

was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn ich netstat ausführen wenn die Verbindung geschlossen ist ? Eher nicht.

Im Log der Firewall sehe ich Einträge alle 6 bis 8 Minuten.

Grüße
Andreas
Bitte warten ..
Mitglied: mrtux
16.04.2012 um 12:59 Uhr
Hi !

Zitat von amoroder:
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn

Naja es gehört vor allem auch ein bisschen Erfahrung und Spürsinn dazu. Natürlich kannst Du auch Wireshark einsetzen, der ist für so eine einfache Aufgabe aber oftmals oversized, meistens genügen einfachere Methoden. Evt. ist auch nur die Firewall falsch eingestellt. In den meisten Fällen genügen die Möglichkeiten, die von den Kollegen oben schon erwähnt wurden z.B. mit Bordmitteln oder den Tools von Sysinternals.

Im Zweifel (dh. wenn Du den Übeltäter z.B. nur mit Wireshark finden kannst) würde ich einen Check auf Malware durchführen. Damit der aber auch einigermassen aussagefähig ist, solltest Du den Server (nach Feierabend) herunterfahren und den Scan offline mit einem Recuesystem durchführen.

mrtux
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 16:11 Uhr
Ich würde mir einfach eine Batch schreiben, in dem der Befehl einige Male hintereinander ausgeführt wird und die Ausgabe in eine Textdatei umgeleitet wird. Ist quick and dirty, aber vermutlich wirst Du den Prozess irgendwann erwischen und kannst dann in Ruhe die Textdatei auswerten. Wenn das nicht klappt würde ich wohl auch einen der weitergehenden Tools nutzen...
Hast Du denn schon was rausgekriegt?
Bitte warten ..
Mitglied: 106009
16.04.2012 um 16:23 Uhr
Hi,
Zitat von amoroder:
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?

Der Hinweis kam schon:
TCPView von Sysinternals. Updateinterval 1 Sekunde.
http://live.sysinternals.com/tcpview.exe (direkter Download der Exe-Datei von Microsoft/sysinternals !)

Wenn du erst mal Infos haben möchtest:
http://technet.microsoft.com/de-de/sysinternals/bb897437

Gruß
Bitte warten ..
Mitglied: amoroder
16.04.2012 um 16:47 Uhr
Hallo Daniel,

habe genau dies probiert, aber bisher den Prozess noch nicht "derwuschen" wie man in Südtirol so schön sagt, da ich netstart nur ein mal pro sekunde gestartet habe.

Grüße
Andreas
Bitte warten ..
Mitglied: danielfr
16.04.2012 um 20:25 Uhr
Hi Andreas,
dann schau doch mal mit den übrigen Vorschlägen hier, ob Du etwas herausbekommst. Du kannst ja auch mal den Logfile Eintrag herzeigen, das verrät doch normalerweise auch schon was.
War letzten Oktober bei Brixen.
Grüße in eine meiner Lieblingsurlaubsregionen
Daniel
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Malware-Verteilung: Hacker infiltrierten Update-Prozess der Ask.com-Toolbar (6)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Switche und Hubs
gelöst Brücke zwischen zwei VLANS finden (9)

Frage von D1Ck3n zum Thema Switche und Hubs ...

Weiterbildung
Neue Betrugsmasche: Gefälschte Job-Angebote im Internet (4)

Link von Frank zum Thema Weiterbildung ...

Router & Routing
Fritzbox Wunschpräfix im Internet ereichbar machen (4)

Frage von Herbrich19 zum Thema Router & Routing ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(6)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Heiß diskutierte Inhalte
Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...

LAN, WAN, Wireless
IP Sec Client legt Netzwerkkarte lahm (12)

Frage von mario87 zum Thema LAN, WAN, Wireless ...