11
Prozess bzw. Programm zu Verbindung auf IP herausfinden
Wir bekommen bei diversen Kunden regelmäßig (alle 6 - 8 Tage) Alarmmeldungen von der Firewall zu einer geblockten Verbindung zu 68.183.140.225 Port 443.
Jetzt möchten wir herausfinden welcher Prozesse bzw. welches Programm auf den PCs diese Verbindung versucht aufzubauen ...
Leider bisher ohne Erfolg. Da es nur sporadisch passiert und nicht "erzwungen" werden kann, benötigen wir "Tools" die das die ganze Zeit überwachen.
Mit "netstat -ano 1 | find "68.183.140.225" > C:\Users\Administrator.RASCHE\Desktop\prozess.txt" können wir die Verbindung protokollieren und kennen dann die PID´.
Wir bekommen es aber nicht hin in dem Moment die PID zum Prozess zu ermitteln, da wir ja nicht am PC sind.
Eine Idee war ein seperates DOS-Fenster mit "netstat -ano 1 | find "68.183.140.225" | tasklist > C:\Users\Administrator.RASCHE\Desktop\list.txt"
Geht aber nicht ...
Hat jemand eine Idee?
Vielen Dank!
Jetzt möchten wir herausfinden welcher Prozesse bzw. welches Programm auf den PCs diese Verbindung versucht aufzubauen ...
Leider bisher ohne Erfolg. Da es nur sporadisch passiert und nicht "erzwungen" werden kann, benötigen wir "Tools" die das die ganze Zeit überwachen.
Mit "netstat -ano 1 | find "68.183.140.225" > C:\Users\Administrator.RASCHE\Desktop\prozess.txt" können wir die Verbindung protokollieren und kennen dann die PID´.
Wir bekommen es aber nicht hin in dem Moment die PID zum Prozess zu ermitteln, da wir ja nicht am PC sind.
Eine Idee war ein seperates DOS-Fenster mit "netstat -ano 1 | find "68.183.140.225" | tasklist > C:\Users\Administrator.RASCHE\Desktop\list.txt"
Geht aber nicht ...
Hat jemand eine Idee?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1113939136
Url: https://administrator.de/contentid/1113939136
Printed on: April 24, 2024 at 20:04 o'clock
11 Comments
Latest comment
Moin,
schon mal mit "netstat -anb" versucht? Das gibt direkt den Programm/Prozessnamen mit aus.
lg,
Slainte
schon mal mit "netstat -anb" versucht? Das gibt direkt den Programm/Prozessnamen mit aus.
lg,
Slainte
Moin Slainte,
bei netstat -ano : TCP 192.168.100.6:62659 68.183.140.225:443 SYN_GESENDET 13796
bei netstat -anb : TCP 192.168.100.6:63636 68.183.140.225:443 SYN_GESENDET
Da fehlt dann "sogar" die PID und es wird kein Programm angegeben ...
LG, Jörg
bei netstat -ano : TCP 192.168.100.6:62659 68.183.140.225:443 SYN_GESENDET 13796
bei netstat -anb : TCP 192.168.100.6:63636 68.183.140.225:443 SYN_GESENDET
Da fehlt dann "sogar" die PID und es wird kein Programm angegeben ...
LG, Jörg
Das Programm steht in der Zeile nach den Verbindungs-Daten:
TCP 10.x.x.1:33813 10.x.x.2:443 HERGESTELLT
[OUTLOOK.EXE]
Powershell can help:
Nennt sich Calculated Property:
https://docs.microsoft.com/de-de/powershell/module/microsoft.powershell. ...
Get-NetTCPConnection | Where-Object {$_.RemoteAddress -eq "68.183.140.225"} | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).ProcessName }} | Format-Table -AutoSize Nennt sich Calculated Property:
https://docs.microsoft.com/de-de/powershell/module/microsoft.powershell. ...
Für uns war jetzt procmon mit einem Filter (path contains 68.183.140.225 in Kombination mit "Drop Filtered Events" die Lösung.
Vielen Dank für die schnellen Hinweise!
Vielen Dank für die schnellen Hinweise!
Hallo dcminden,
ich habe aktuell dieselbe Problematik mit derselben IP und bin unabhängig von diesem Thread auf dieselbe Lösung mit procmon gekommen. Der Verursacher war msedge.exe und ich vermute, dass das bei dir genauso ist.
Seit dem Wechsel auf Firefox tritt das Problem nicht mehr auf. Allerdings habe ich nicht herausgefunden, was genau da mit dem Edge passiert und das gefällt mir überhaupt nicht. Es sind keine Extensions oder dergleichen installiert. Aber vielleicht hat sich ja irgendetwas Bösartiges an den Prozess drangehängt. Oder das ist etwas, was unter den Euphemismus "Telemetrie" fällt und in Edge eingebaut ist. Das Surfverhalten konnten wir als Ursache ausschließen. Jedenfalls meldet die Firewall heute bereits den zweiten Rechner und ich möchte sicherstellen, dass es eine vergleichsweise harmlose Ursache hat.
Bist du soweit ins Detail gegangen, dass du weißt, was genau da passiert?
Die IP gehört zu DigitalOcean (cloud infrastructure provider mit Sitz in den USA), kann also alles sein.
Gruß
norden
ich habe aktuell dieselbe Problematik mit derselben IP und bin unabhängig von diesem Thread auf dieselbe Lösung mit procmon gekommen. Der Verursacher war msedge.exe und ich vermute, dass das bei dir genauso ist.
Seit dem Wechsel auf Firefox tritt das Problem nicht mehr auf. Allerdings habe ich nicht herausgefunden, was genau da mit dem Edge passiert und das gefällt mir überhaupt nicht. Es sind keine Extensions oder dergleichen installiert. Aber vielleicht hat sich ja irgendetwas Bösartiges an den Prozess drangehängt. Oder das ist etwas, was unter den Euphemismus "Telemetrie" fällt und in Edge eingebaut ist. Das Surfverhalten konnten wir als Ursache ausschließen. Jedenfalls meldet die Firewall heute bereits den zweiten Rechner und ich möchte sicherstellen, dass es eine vergleichsweise harmlose Ursache hat.
Bist du soweit ins Detail gegangen, dass du weißt, was genau da passiert?
Die IP gehört zu DigitalOcean (cloud infrastructure provider mit Sitz in den USA), kann also alles sein.
Gruß
norden
Bei uns heute das gleiche...gibts schon Infos darüber, was das verursacht, und obs was böses ist oder nicht? Unsere Firewall erkennt die Ziel-IP Adresse als Command&Control Server an...
Mit dem Wireshark einfach mal in diese Pakete reinsehen und checken WAS dort gesendet wird ! 
tja, wen man wüsste wann die pakete kommen...ist hier zum ersten mal passiert...nachts.
