tobixz
Goto Top

Verdächtige Anmeldeaktivität SMB

In unserem Serversystem ist mir aufgefallen, dass ein Server eine SMB-Verbindung zu anderen Servern aufbaut.
Diese Verbindungen wurden jedoch nicht von uns konfiguriert. Die Frage ist, wie kann ich feststellen, welchen Pfad die SMB-Verbindung verwendet? Mit dem CMD-Befehl Netstat -ano konnte ich herausfinden, dass die SMB-Verbindungen entweder auf LSASS.Exe oder ntoskrnl verweisen. Gibt es eine Software, mit der ich den genauen Pfad herausfinden kann? Oder kann ich generell herausfinden wieso die Verbindungen aufgebaut werden ?

Content-ID: 21218305538

Url: https://administrator.de/forum/verdaechtige-anmeldeaktivitaet-smb-21218305538.html

Ausgedruckt am: 21.12.2024 um 17:12 Uhr

Fighter456
Fighter456 27.10.2023 um 18:57:37 Uhr
Goto Top
Guten Abend,

ist die Quell-IP der Verbindung auf den Server denn bekannt?

Auf dem Dateiserver kannst du in der Computerverwaltung unter "Freigegebene Ordner" --> "Geöffnete Dateien" sehen, welche Dateien von welchem Pfad und über welchen Benutzer geöffnet sind. "Freigegebene Ordner" --> "Sitzungen" wäre für dich vermutlich auch noch von Interesse.
Tobixz
Tobixz 27.10.2023 um 19:03:13 Uhr
Goto Top
Ja genau das steht in dem Ereignislog des AD. Danke für den Tipp. Irre ich mich jetzt es ist doch nicht üblich das ein einzelner Server ohne Konfiguration sich per SMB mit anderen Servern verbindet, selbst wenn der Ziel Server kein Share offen hat. Oder irre mich?

Danke im Voraus!
Fighter456
Fighter456 27.10.2023 um 19:08:09 Uhr
Goto Top
Nun, das ist für außenstehende schwer zu beurteilen. Genauso wenig, wie wir wissen, was ein "Server ohne Konfiguration" aus deiner Sicht ist.

Ich könnte mir vorstellen, dass das Serverbetriebssystem installiert wurde und der Server auch schon ein Teil der Domäne ist und deshalb die Verbindung zum Domänencontroller (=AD) sucht. Ist dies der Fall, so findet hier definitiv ein regelmäßiger Austausch über SMB statt.
MysticFoxDE
MysticFoxDE 29.10.2023 um 09:22:41 Uhr
Goto Top
Moin @Tobixz,

Irre ich mich jetzt es ist doch nicht üblich das ein einzelner Server ohne Konfiguration sich per SMB mit anderen Servern verbindet, selbst wenn der Ziel Server kein Share offen hat. Oder irre mich?

das ist ganz normal, dass ein Domänenmitglied ständig mindestens zu den DC's (SYSVOL) eine SMB Verbindung aufbaut um z.B. die GPO's oder Anmeldeskripte oder andere Dinge zu laden. 😉
Und je nachdem was z.B. in den GPO's und oder Anmeldeskripten konfiguriert ist, können dadurch auch noch weiter SMB Verbindungen zu Stande kommen.

Gruss Alex