Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wer startet Dienste auf dem Server neu

Frage Microsoft Windows Server

Mitglied: skyscraber

skyscraber (Level 1) - Jetzt verbinden

16.12.2013 um 17:45 Uhr, 1484 Aufrufe, 12 Kommentare

Hallo Zusammen,

auf einem Windows 2008 R2 Server sehe ich im Eventlog, dass alle 6 Stunden ein Dienst durchgestartet wird.
Ich sehe aber leider nicht warum dies passiert (Weder die Anwendung selbst noch ein geplanter Task auf dem entsprechenden Server tut dies).

Ich vermute einen net stop / net start von einem anderen Server - kann ich irgendwie herausfinden woher solche Kommandos kommen können?

Vielen Dank für eine kurze Hilfe!

Markus
Mitglied: Xaero1982
16.12.2013 um 18:03 Uhr
Hi,

welcher Dienst denn?

Gruß
Bitte warten ..
Mitglied: skyscraber
16.12.2013 um 18:11 Uhr
Ist eine spezielle Software (also kein Betriebssystemdienst)
Bitte warten ..
Mitglied: Xaero1982
16.12.2013 um 19:11 Uhr
Gut, du willst offenbar keine Hilfe.

Schönen Abend noch.

Gruß
Bitte warten ..
Mitglied: skyscraber
16.12.2013 um 20:15 Uhr
Doch, ich dachte nur deine Frage zielt auf spezielle Dienste ab.
Heißen tut der Dienst fwsytemmngr.

Viele Grüße,

Markus
Bitte warten ..
Mitglied: emeriks
17.12.2013 um 13:47 Uhr
Hi,
3 Ideen:
1. Der Dienst tut das selbst. Kann man ja programmieren.
2. Der Dienst klappt Dir nach 6h ab, warum auch immer, und in den Dienst-Einstellungen unter "Wiederherstellung" ist eingetragen "Dienst neu starten"
3. Überwachung aktivieren und dann viel Spaß beim Lesen des Sicherheit-Eventlogs.

Mit freundlichen Grüßen
E.
Bitte warten ..
Mitglied: skyscraber
17.12.2013 um 23:22 Uhr
Hallo und vielen Dank.

Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr - wäre schon sehr viel Zufall )

Welche Überwachung wäre möglich? Meine Vermutung ist aktuell, dass auf irgendeinem Anderen Server ein geplanter Task läuft der mit netstop netstart meinen Dienst
steuert.

Vielen Dank,

Markus Aigner
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 23:32 Uhr
Da du uns nicht verrätst was für ein Programm das sein soll wird das hier ein heilloses Rätselraten - für mich sinnlos. Sorry.

Gruß
Bitte warten ..
Mitglied: skyscraber
18.12.2013 um 10:26 Uhr
@ Xaero1982:

Der Dienst heißt fwsytemmngr - ist eine Entwicklung eines kleinen Unternehmens (friendWorks). Von Dort habe ich die Info, dass der Dienst sich nicht eigenständig startet.

D.h. für mich, dass auf einem anderen Server etwas läuft, dass diesen Dienst mit net stop / net start durchstartet.
Das würde ich gerne herausfinden. ich finde in keinen Eventlogs etwas und das Programm selbst protokolliert auch nicht.

Viele Grüße
Bitte warten ..
Mitglied: Xaero1982
18.12.2013 um 11:00 Uhr
Gut, also was vollkommen unbekanntes.

Hast du die Taskplaner durchgesehen? Gibt es hier irgendwas?

Ansonsten kannst du es höchstens versuchen in dem du dir ein Programm wie Wireshark installierst und dir mal die Einträge ansiehst, ob irgendwer oder irgendwas aus dem Netz auf den Server zugreift zu dieser Zeit.

Knifflig ...

Gruß
Bitte warten ..
Mitglied: skyscraber
18.12.2013 um 11:15 Uhr
ah, das tool ist schon mal ein tipp. Mal sehen ob ich das installieren darf.

Die Tasks am Server direkt habe ich geprüft, da ist nicht (daher mein verdacht, dass es ein entfernter Server ist - aber das können viele sein ;)

VIelen Dank!
Bitte warten ..
Mitglied: emeriks
18.12.2013 um 11:57 Uhr
Du könntest die Zugriffsberechtigungen für diesen Dienst einschränken auf Lokales System und lokalem Administrator (nicht die Gruppe "Administratoren"). Das kannst Du per GPO erledigen.
Dann das Passwort des lokalen Admins ändern.
Wenn jetzt remote ein Task läuft, dann sollte der nicht mehr das Recht haben, diesen Dienst zu starten. Also wenn der Dienst dann durchläuft, dann hättest Du wahrscheinlich Recht mit Deiner Vermutung.
Bitte warten ..
Mitglied: Cthluhu
18.12.2013 um 12:06 Uhr
Hi,
Zitat von skyscraber:
Der Dienst selbst ist es nicht und auch "wegklappen" tut er nicht (sind immer gerade Uhrzeiten 12:00 18:00 24:00 Uhr -
wäre schon sehr viel Zufall )
Die geraden Uhrzeiten sind in der Tat verdächtig. Vor kurzem gab es hier auf administrator.de einen Betrag (finde den Link grad nicht mehr) in welchem der Virenscanner bei seinen regelmäßigen Updateversuchen probleme verursachte.
Kann es sein, dass die unbekannte Software von sich aus updates macht (und sich dann neu startet) oder einen Watchdog hat, welcher amok läuft?

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...