Prozess bzw. Programm zu Verbindung auf IP herausfinden

Wir bekommen bei diversen Kunden regelmäßig (alle 6 - 8 Tage) Alarmmeldungen von der Firewall zu einer geblockten Verbindung zu 68.183.140.225 Port 443.

Jetzt möchten wir herausfinden welcher Prozesse bzw. welches Programm auf den PCs diese Verbindung versucht aufzubauen ...

Leider bisher ohne Erfolg. Da es nur sporadisch passiert und nicht "erzwungen" werden kann, benötigen wir "Tools" die das die ganze Zeit überwachen.

Mit "netstat -ano 1 | find "68.183.140.225" > C:\Users\Administrator.RASCHE\Desktop\prozess.txt" können wir die Verbindung protokollieren und kennen dann die PID´.

Wir bekommen es aber nicht hin in dem Moment die PID zum Prozess zu ermitteln, da wir ja nicht am PC sind.

Eine Idee war ein seperates DOS-Fenster mit "netstat -ano 1 | find "68.183.140.225" | tasklist > C:\Users\Administrator.RASCHE\Desktop\list.txt"

Geht aber nicht ...

Hat jemand eine Idee?

Vielen Dank!

Content-Key: 1113939136

Url: https://administrator.de/contentid/1113939136

Ausgedruckt am: 21.09.2021 um 09:09 Uhr

Mitglied: 149062
Lösung 149062 02.08.2021 aktualisiert um 10:51:38 Uhr
Goto Top
Mitglied: SlainteMhath
SlainteMhath 02.08.2021 um 10:52:15 Uhr
Goto Top
Moin,

schon mal mit "netstat -anb" versucht? Das gibt direkt den Programm/Prozessnamen mit aus.

lg,
Slainte
Mitglied: aqui
aqui 02.08.2021 um 11:43:59 Uhr
Goto Top
Mitglied: dcminden
dcminden 02.08.2021 um 11:44:36 Uhr
Goto Top
Moin Slainte,

bei netstat -ano : TCP 192.168.100.6:62659 68.183.140.225:443 SYN_GESENDET 13796
bei netstat -anb : TCP 192.168.100.6:63636 68.183.140.225:443 SYN_GESENDET

Da fehlt dann "sogar" die PID und es wird kein Programm angegeben ...

LG, Jörg
Mitglied: SlainteMhath
SlainteMhath 02.08.2021 um 11:58:31 Uhr
Goto Top
Das Programm steht in der Zeile nach den Verbindungs-Daten:

Mitglied: NetzwerkDude
NetzwerkDude 02.08.2021 um 12:01:55 Uhr
Goto Top
Powershell can help:

Nennt sich Calculated Property:
https://docs.microsoft.com/de-de/powershell/module/microsoft.powershell. ...
Mitglied: dcminden
dcminden 02.08.2021 aktualisiert um 12:30:49 Uhr
Goto Top
Für uns war jetzt procmon mit einem Filter (path contains 68.183.140.225 in Kombination mit "Drop Filtered Events" die Lösung.
Vielen Dank für die schnellen Hinweise!
Mitglied: norden
norden 03.08.2021 um 14:47:14 Uhr
Goto Top
Hallo dcminden,

ich habe aktuell dieselbe Problematik mit derselben IP und bin unabhängig von diesem Thread auf dieselbe Lösung mit procmon gekommen. Der Verursacher war msedge.exe und ich vermute, dass das bei dir genauso ist.

Seit dem Wechsel auf Firefox tritt das Problem nicht mehr auf. Allerdings habe ich nicht herausgefunden, was genau da mit dem Edge passiert und das gefällt mir überhaupt nicht. Es sind keine Extensions oder dergleichen installiert. Aber vielleicht hat sich ja irgendetwas Bösartiges an den Prozess drangehängt. Oder das ist etwas, was unter den Euphemismus "Telemetrie" fällt und in Edge eingebaut ist. Das Surfverhalten konnten wir als Ursache ausschließen. Jedenfalls meldet die Firewall heute bereits den zweiten Rechner und ich möchte sicherstellen, dass es eine vergleichsweise harmlose Ursache hat.

Bist du soweit ins Detail gegangen, dass du weißt, was genau da passiert?

Die IP gehört zu DigitalOcean (cloud infrastructure provider mit Sitz in den USA), kann also alles sein.

Gruß
norden
Mitglied: Assassin
Assassin 16.08.2021 um 11:16:23 Uhr
Goto Top
Bei uns heute das gleiche...gibts schon Infos darüber, was das verursacht, und obs was böses ist oder nicht? Unsere Firewall erkennt die Ziel-IP Adresse als Command&Control Server an...
Mitglied: aqui
aqui 16.08.2021 um 12:00:08 Uhr
Goto Top
Mit dem Wireshark einfach mal in diese Pakete reinsehen und checken WAS dort gesendet wird ! ;-) face-wink
Mitglied: Assassin
Assassin 16.08.2021 um 12:28:47 Uhr
Goto Top
tja, wen man wüsste wann die pakete kommen...ist hier zum ersten mal passiert...nachts.
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich - Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 23 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...