Aktionen

Windows herausfinden welches Programm mit einer bestimmten IP-Adresse kommuniziert

Aus znilwiki

Problem

Da meldet die Firewall "bösen" Datenverkehr von einem meiner Rechner. In diesem Fall war es die Firewall vor meiner Firewall. Dahinter waren nur 2 Windows-Server.
Und angeblich fand verdächtiger Datenverkehr zu einem bekannten Command&Control Server statt.

Nun, ich wusste zwar mit wem Kommuniziert wurde, aber nicht wer es war/ist.<vr>
Unter anderem wollte ich wissen ob einer der beiden Windows-Server Kontakt zu der externen IP-Adresse aufnimmt - und wenn ja welcher Prozess.


Lösung

In einer Administratoren-Eingabeaufforderung folgendes eingeben:

netstat -ano 1 | find "IP-Adresse"

Erklärung:

-ano 1
 a  =>  Zeigt alle Verbindungen und lauschenden Ports an.
 n  =>  Zeigt Adressen und Portnummern numerisch an.
 o  =>  Zeigt die mit jeder Verbindung verknüpfte, übergeordnete Prozesskennung an.
 1  =>  Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl von Sekunden erneut an.


Den lässt man so lange laufen bis er mal was findet.
In der Ausgabe findet man dann am Ende die Prozessnummer:

 TCP    10.100.12.81:63243     192.168.1.81:389       HERGESTELLT     4112

Hier also 4112
Mit dem Befehl

tasklist

bekommt Ihr dann den genauen Prozess, in diesem Beispiel z.B. Exchange:

Microsoft.Exchange.Direct     4112 Services                   0        71.920 K




Kommentare

Loading comments...