5
Windows Server2012 R2 Verbindungsversuch zu vortex-win.data.microsoft.com
Hallo zusammen!
Ich habe hier ein WindowsServer2012R2 System als Virtuelle Maschine auf einer vSphere5.5 laufen. Das System läuft im Erstinstallationszustand, keine weiteren Programme sind installiert, aktiviert ist es.
Nun zu folgendem Problem:
Auf meiner Firewall sehe ich, dass dieses System alle 2 Minuten einen Verbindungsaufbau zur Adresse 191.232.139.5 auf Port 443 unternimmt. Nach langem Suchen mit netstat und Wireshark habe ich ermitteln können, dass diese IP zu folgender Adresse führt: vortex-win.data.microsoft.com.
Leider konnte ich mehr aus der Verbindung nicht lesen, da sie ja verschlüsselt ist.
Nun meine Frage: Habt ihr eine Idee, welcher Dienst hier gerne nach Hause telefonieren möchte und wie man ihn zum Schweigen bringt?
Vielen Dank
Frank
Ich habe hier ein WindowsServer2012R2 System als Virtuelle Maschine auf einer vSphere5.5 laufen. Das System läuft im Erstinstallationszustand, keine weiteren Programme sind installiert, aktiviert ist es.
Nun zu folgendem Problem:
Auf meiner Firewall sehe ich, dass dieses System alle 2 Minuten einen Verbindungsaufbau zur Adresse 191.232.139.5 auf Port 443 unternimmt. Nach langem Suchen mit netstat und Wireshark habe ich ermitteln können, dass diese IP zu folgender Adresse führt: vortex-win.data.microsoft.com.
Leider konnte ich mehr aus der Verbindung nicht lesen, da sie ja verschlüsselt ist.
Nun meine Frage: Habt ihr eine Idee, welcher Dienst hier gerne nach Hause telefonieren möchte und wie man ihn zum Schweigen bringt?
Vielen Dank
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270491
Url: https://administrator.de/contentid/270491
Printed on: April 24, 2024 at 20:04 o'clock
5 Comments
Latest comment
Moin Frank,
sind wirklich keine Rollen oder Services von Microsoft installiert? Wir haben auch VMWare in verschiedenen Versionen und Plugins im Einsatz. Das kann also auch kein Grund sein. Ich habe die IP-Adresse durch unseren Syslog-Server der Firewalls gejagt und keinen Treffer in den letzten 90 Tagen gefunden. Seltsam...
Gruß,
Dani
P.S. Wenn ich es nachstellen könnte, würde ich sogar anbieten ein Support Ticket bei Microsoft zu öffnen.
sind wirklich keine Rollen oder Services von Microsoft installiert? Wir haben auch VMWare in verschiedenen Versionen und Plugins im Einsatz. Das kann also auch kein Grund sein. Ich habe die IP-Adresse durch unseren Syslog-Server der Firewalls gejagt und keinen Treffer in den letzten 90 Tagen gefunden. Seltsam...
Gruß,
Dani
P.S. Wenn ich es nachstellen könnte, würde ich sogar anbieten ein Support Ticket bei Microsoft zu öffnen.
Hallo Dani,
vielen Dank erstmal für deine Antwort Ich muss mich bei meinen Angaben oben ein wenig korrigieren, da ich auf die Angaben meiner Kollegen vertraut habe, dass sich das System im Originalzustand befindet...
Also, als Rolle ist der IIS installiert, sowie unsere Videoaufzeichnungssoftware Milestone.
Wir haben aktuell sieben Windows Server 2012R2 im Einsatz und nur dieser zeigt hier diese komischen Verbindungsversuche. Daher glaube ich, dass die Kollegen irgendein Feature aktiviert haben oder aber das System kompromittiert ist, allerdings suche ich mir einen Wolf...
Eben konnte ich das erste Mal im netstat die Verbindung protokollieren:
TCP 10.0.3.4:49441 msnbot-191-232-139-5:https SYN_GESENDET
Wenn ich nun versuche, per IE eine https Verbindung zu der o.g. IP-Adresse aufzubauen, bekomme ich ein Zertifikat von Microsoft präsentiert. Daher möchte ich an einen Virus nicht so recht glauben.
Auch Windows Update scheidet m.M. nach aus, da wir einen internen WSUS betreiben und der Pfad auch auf diesen umgebogen ist.
Zum Thema Syslog: In der letzten Woche hatte ich satte 1300 Verbindungsversuche...
Falls du noch ne Idee hast, ich wäre für Hilfe dankbar!
LG
Frank
vielen Dank erstmal für deine Antwort Ich muss mich bei meinen Angaben oben ein wenig korrigieren, da ich auf die Angaben meiner Kollegen vertraut habe, dass sich das System im Originalzustand befindet...
Also, als Rolle ist der IIS installiert, sowie unsere Videoaufzeichnungssoftware Milestone.
Wir haben aktuell sieben Windows Server 2012R2 im Einsatz und nur dieser zeigt hier diese komischen Verbindungsversuche. Daher glaube ich, dass die Kollegen irgendein Feature aktiviert haben oder aber das System kompromittiert ist, allerdings suche ich mir einen Wolf...
Eben konnte ich das erste Mal im netstat die Verbindung protokollieren:
TCP 10.0.3.4:49441 msnbot-191-232-139-5:https SYN_GESENDET
Wenn ich nun versuche, per IE eine https Verbindung zu der o.g. IP-Adresse aufzubauen, bekomme ich ein Zertifikat von Microsoft präsentiert. Daher möchte ich an einen Virus nicht so recht glauben.
Auch Windows Update scheidet m.M. nach aus, da wir einen internen WSUS betreiben und der Pfad auch auf diesen umgebogen ist.
Zum Thema Syslog: In der letzten Woche hatte ich satte 1300 Verbindungsversuche...
Falls du noch ne Idee hast, ich wäre für Hilfe dankbar!
LG
Frank
Guten Abend Frank,
Darfst du eine Übersicht der installierten Feature und Programme posten?
Gruß,
Dani
Also, als Rolle ist der IIS installiert,
Daran kann es nicht liegen, sonst würde ich es bei uns auch sehen.Darfst du eine Übersicht der installierten Feature und Programme posten?
Gruß,
Dani
Hallo Dani,
sorry für die späte Rückmeldung!
Konnte das Verhalten jetzt auf unserem WSUS-Server nachstellen. Habe dem WSUS jetzt auf der Firewall auch den Port 443 gesperrt und siehe da, auch dieser Server versucht, die IP-Adresse 191.232.139.4 zu erreichen.
Daher gehe ich jetzt davon aus, dass tatsächlich ein Windows Dienst versucht, nach Hause zu telefonieren, allerdings weiß ich noch immer nicht, welcher.
Zu den Features&Rollen:
Standard-Installation
WSUS-Rolle
net-Framework 4.5
LG
Frank
sorry für die späte Rückmeldung!
Konnte das Verhalten jetzt auf unserem WSUS-Server nachstellen. Habe dem WSUS jetzt auf der Firewall auch den Port 443 gesperrt und siehe da, auch dieser Server versucht, die IP-Adresse 191.232.139.4 zu erreichen.
Daher gehe ich jetzt davon aus, dass tatsächlich ein Windows Dienst versucht, nach Hause zu telefonieren, allerdings weiß ich noch immer nicht, welcher.
Zu den Features&Rollen:
Standard-Installation
WSUS-Rolle
net-Framework 4.5
LG
Frank
So... Thema gelöst!
Nachdem ich dank dem Hinweis von Testperson die PID ermittelt habe (svchost.exe) und dann über den Befehl
tasklist /svc /FI "IMAGENAME eq svchost.exe"
den entsprechenden Dienst (DiagTrack) ermitten konnte kam Klarheit in die Sache.
Mit dem Update KB3022345 hat Microsoft ein "Diagnose & Trackingtool" ausgerollt.
Vielen Dank an alle!
Brause
Nachdem ich dank dem Hinweis von Testperson die PID ermittelt habe (svchost.exe) und dann über den Befehl
tasklist /svc /FI "IMAGENAME eq svchost.exe"
den entsprechenden Dienst (DiagTrack) ermitten konnte kam Klarheit in die Sache.
Mit dem Update KB3022345 hat Microsoft ein "Diagnose & Trackingtool" ausgerollt.
Vielen Dank an alle!
Brause
