11
Prozess finden, der sich mit dem Internet verbindet
Hallo,
aus dem Log der Firewall von Windows 2008 ( nicht R2 ) sehen wir, dass eine Anwendung versucht sich mit einer bestimmten Adresse im Internet zu verbinden. Aus der Logdatei geht leide rnicht hervor, welcher Prozess.
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?
Danke
Andreas
aus dem Log der Firewall von Windows 2008 ( nicht R2 ) sehen wir, dass eine Anwendung versucht sich mit einer bestimmten Adresse im Internet zu verbinden. Aus der Logdatei geht leide rnicht hervor, welcher Prozess.
Gibt es einen Weg herauszufinden um welchen Prozess es sich handelt ?
Danke
Andreas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183573
Url: https://administrator.de/contentid/183573
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
du könntest auf dem Server mal TCPView ausführen (gibts kostenlos von Microsoft). Da werden alle Prozesse inl. Port und Zieladresse angezeigt.
Gruß
Neomatic
du könntest auf dem Server mal TCPView ausführen (gibts kostenlos von Microsoft). Da werden alle Prozesse inl. Port und Zieladresse angezeigt.
Gruß
Neomatic
Hallo,
der Microsoft Network Monitor eignet sich für so was auch gut.
Microsoft Network Monitor
Gruß
Antos
der Microsoft Network Monitor eignet sich für so was auch gut.
Microsoft Network Monitor
Gruß
Antos
Hallo Antos,
ist der Networkmonitor so etwas wie Wireshark,d.h. er liest den Verkehr auf dem Netz mit ? Wenn dem so ist, wie weiß das Programm welcher Prozess den Verkeht generiert hat ?
Grüße
Andreas
ist der Networkmonitor so etwas wie Wireshark,d.h. er liest den Verkehr auf dem Netz mit ? Wenn dem so ist, wie weiß das Programm welcher Prozess den Verkeht generiert hat ?
Grüße
Andreas
Hallo, ein
netstat -ab
auf der cmd reicht evtl. schon.
Gruß Daniel
netstat -ab
auf der cmd reicht evtl. schon.
Gruß Daniel
Der Sysinternal Process Explorer (von der Microsoft Website) ist schon mal ein guter Start einen Prozeß zu identifizieren. Er geht weiter als der Taskmanager. Dort hat man die Chance unter den "Spalten-Process Network" Auch die gesendeten und empfangen Bytes zu monitoren. Ein erster hinweis auf den im Klartext angezeigten Prozess.
Gruß
Netman
P.S: mit der eingeblendenten Spalte ist man nicht mehr auf schnelle Finger angewiesen.
Gruß
Netman
P.S: mit der eingeblendenten Spalte ist man nicht mehr auf schnelle Finger angewiesen.
Hallo Daniel,
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn ich netstat ausführen wenn die Verbindung geschlossen ist ? Eher nicht.
Im Log der Firewall sehe ich Einträge alle 6 bis 8 Minuten.
Grüße
Andreas
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn ich netstat ausführen wenn die Verbindung geschlossen ist ? Eher nicht.
Im Log der Firewall sehe ich Einträge alle 6 bis 8 Minuten.
Grüße
Andreas
Hi !
Naja es gehört vor allem auch ein bisschen Erfahrung und Spürsinn dazu. Natürlich kannst Du auch Wireshark einsetzen, der ist für so eine einfache Aufgabe aber oftmals oversized, meistens genügen einfachere Methoden. Evt. ist auch nur die Firewall falsch eingestellt. In den meisten Fällen genügen die Möglichkeiten, die von den Kollegen oben schon erwähnt wurden z.B. mit Bordmitteln oder den Tools von Sysinternals.
Im Zweifel (dh. wenn Du den Übeltäter z.B. nur mit Wireshark finden kannst) würde ich einen Check auf Malware durchführen. Damit der aber auch einigermassen aussagefähig ist, solltest Du den Server (nach Feierabend) herunterfahren und den Scan offline mit einem Recuesystem durchführen.
mrtux
Zitat von @amoroder:
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn
was, wenn dieser Prozess die Verbindung öffnet und dann wieder schließt ? Sehe ich diesen dann mit netstat auch wenn
Naja es gehört vor allem auch ein bisschen Erfahrung und Spürsinn dazu. Natürlich kannst Du auch Wireshark einsetzen, der ist für so eine einfache Aufgabe aber oftmals oversized, meistens genügen einfachere Methoden. Evt. ist auch nur die Firewall falsch eingestellt. In den meisten Fällen genügen die Möglichkeiten, die von den Kollegen oben schon erwähnt wurden z.B. mit Bordmitteln oder den Tools von Sysinternals.
Im Zweifel (dh. wenn Du den Übeltäter z.B. nur mit Wireshark finden kannst) würde ich einen Check auf Malware durchführen. Damit der aber auch einigermassen aussagefähig ist, solltest Du den Server (nach Feierabend) herunterfahren und den Scan offline mit einem Recuesystem durchführen.
mrtux
Ich würde mir einfach eine Batch schreiben, in dem der Befehl einige Male hintereinander ausgeführt wird und die Ausgabe in eine Textdatei umgeleitet wird. Ist quick and dirty, aber vermutlich wirst Du den Prozess irgendwann erwischen und kannst dann in Ruhe die Textdatei auswerten. Wenn das nicht klappt würde ich wohl auch einen der weitergehenden Tools nutzen...
Hast Du denn schon was rausgekriegt?
Hast Du denn schon was rausgekriegt?
Hi,
Der Hinweis kam schon:
TCPView von Sysinternals. Updateinterval 1 Sekunde.
http://live.sysinternals.com/tcpview.exe (direkter Download der Exe-Datei von Microsoft/sysinternals !)
Wenn du erst mal Infos haben möchtest:
http://technet.microsoft.com/de-de/sysinternals/bb897437
Gruß
Der Hinweis kam schon:
TCPView von Sysinternals. Updateinterval 1 Sekunde.
http://live.sysinternals.com/tcpview.exe (direkter Download der Exe-Datei von Microsoft/sysinternals !)
Wenn du erst mal Infos haben möchtest:
http://technet.microsoft.com/de-de/sysinternals/bb897437
Gruß
Hallo Daniel,
habe genau dies probiert, aber bisher den Prozess noch nicht "derwuschen" wie man in Südtirol so schön sagt, da ich netstart nur ein mal pro sekunde gestartet habe.
Grüße
Andreas
habe genau dies probiert, aber bisher den Prozess noch nicht "derwuschen" wie man in Südtirol so schön sagt, da ich netstart nur ein mal pro sekunde gestartet habe.
Grüße
Andreas
Hi Andreas,
dann schau doch mal mit den übrigen Vorschlägen hier, ob Du etwas herausbekommst. Du kannst ja auch mal den Logfile Eintrag herzeigen, das verrät doch normalerweise auch schon was.
War letzten Oktober bei Brixen.
Grüße in eine meiner Lieblingsurlaubsregionen
Daniel
dann schau doch mal mit den übrigen Vorschlägen hier, ob Du etwas herausbekommst. Du kannst ja auch mal den Logfile Eintrag herzeigen, das verrät doch normalerweise auch schon was.
War letzten Oktober bei Brixen.
Grüße in eine meiner Lieblingsurlaubsregionen
Daniel
