suche ein tool, das alle verbindungen nach aussen applicationsmässig anzeigen kann

[ccc 10]

hallo

 

ein NT 4.0 server versucht immer wieder die verbindung

zur destination 192.168.234.235

mit allen möglichen ports via udp aufzubauen .

 

leider kann ich die ursache (application, dll etc.) nicht finden.

 

netstat z.B hilf mir da nicht viel.

 

suche ein program oder ein tool für WIN NT 4.0, das alle verbindungen nach aussen und vor allem, von welcher application, dll, etc. anzeigen kann.

 

gruss

ccc

[saracs 10]

hi!

 

schau dich mal hier um:

 

http://www.sysinternals.com/ntw2k/source/tcpview.shtml

 

bzw.

 

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

 

gruss saracs

[ccc 10]

danke, die tools habe installiert und angewendet, aber ich kann immer

noch nicht die Ursache lokaliesieren.

 

192.168.234.235 ist eine lokale IP Adresse.

ich benutze weder diese IP noch dieses IP Range.

 

vermute fast ein WINS problem.

aber wieso nur dieser NT server ?

alle anderen NT server suchen diese IP nicht.

 

auf diesem server ist nur MS Exchange 5.5 installiert.

 

hat jemand da eine Idee ?

[Headbanger 10]

lad dir mal das Programm TCPView herunter

(w*w.winload.de) such das da mal und starte es (ist glaub ich noch nicht mal ne installation nötig)

 

dann siehste alle möglichen verbindungen, ob sie grade gebraucht werden und vor allem,welches programm sie nutzt

[ccc 10]

wie ich schon gesagt habe, habe gemacht.

 

leider sehe diese IP adresse mit TCPView nirgends.

 

firewall log meldet aber immer noch verbindungen von dieser maschine.

 

ich verstehe das nicht !

 

gibt's vielleiche was anderes als TCPView zum ausprobieren ?

[Necron 71]

Probier mal Active Ports aus: http://www.protect-me.com/freeware.html

[blub 115]

Hi,

Mit XP SP2 ist bei netstat der -b Schalter mit dabei, der die executables anzeigt. Kannst ja mal das sp2 netstat auf deinen nt40 rechner kopieren. vielleicht läufts ja

 

cu

blub

[Velius 10]

Mach doch 'mal ein "Pathping" oder "tracert" auf einem W2K Rechner auf diese IP, dann siehst du vielleicht schon mehr....

 

Ausserdem, wenn's ein WINS Problem wäre, dann würden die anderen Rechner auch eine "falsche" IP anpeilen! Aber die LMOSTS würde ich auch 'mal checken, ist im selben ordner wie die Host....

 

Ausserdem, wo siehst du, dass dieser Server diese Verbindungen aufbaut, in den FW logs, oder vom Server aus?

Allenfalls sorgt ein "netstat" auf dem Server für Klarheit....

 

 

Gruss

Velius

 

 

{EDIT}

 

Vielleicht ist ja auch so'n Spyware Zeugs drauf. Ich weiss, es ist ein Server, "da wird doch normalerweise gar nicht gesurft...", wäre aber nicht das erste 'mal, dass cih sowas sehen würde. Darum ->

 

http://www.mcseboard.de/showthread.php?s=&threadid=30691

[ccc 10]

tracert oder ping führt zur firewall und geht ins Internet.

 

NEULICH suchen auch andere server die Verbindungen zur dieser IP Adresse.

 

LMOSTS haben keine Einträge.

 

ich sehe dies nur in FW logs.

 

mit netstat von den betroffennen server sehe ich diese Verbindungen

leider nicht.

 

adaware und online virus scan kann keine spyware finden.

 

und von diesen server wird nicht gesurft.

 

gruss

ccc

[saracs 10]

Original geschrieben von ccc

und von diesen server wird nicht gesurft.

 

nicht?

 

Original geschrieben von ccc

adaware und online virus scan kann keine spyware finden.

 

wie macht man dann einen online virus scan? :suspect:

 

hast du evtl. einen dell server in deinem netz? wenn ja tipp mal die ip 192.168.234.235 in google ein und durchforste mal die suchergebnisse!

 

gruss saracs

[ccc 10]

sorry, habe mich nicht klar ausgedrückt.

 

auf den produktiven server nicht gesurft.

 

um online scan von symantec zu durchführen, musste ich natürlich testen, aber nur von einer test maschine, die ebenfalls diese Verbindung sucht.

 

habe mehrere DELL maschinen (server + workstations) im einsatz.

 

werde ausprobieren:

 

http://support.dell.com/support/edocs/software/smdrac3/RAC/en/is/racugab.htm

 

http://support.microsoft.com/default.aspx?scid=kb;EN-US;292822

[saracs 10]

ich weiss zwar null was DRAC ist aber die ip taucht nur in diesem zusammenhang bei meinen suchen auf. wenn ich das alles richtig verstanden habe gibts da ne extra karte für im server.

 

ich würd einfach dell auf die füsse treten und nachfragen was das sein könnte ;)

 

gruss saracs

[ccc 10]

das problem kann man scheinbar auf 2 wegen in den griff bekommen:

 

1. There is now a hotfix available from Microsoft for Windows 2003 that corrects the Netlogon service to properly respect the “register this connection in DNS” checkbox on the network properties. KB 832478. To make this work for the DRAC problem, there's one further trick once the hotfix is installed. You must open the racdun.pbk file (double click it) which has the network properties of the DRAC virtual interface and uncheck the “register this connection in DNS“ checkbox.

 

note that if you don't need the remote VNC connection to the console via the DRAC, you can simply disable the DRAC PPP device in Device Manager

 

2. The racadm utility from Dell can be used to change the IP address of the DRAC virtual interface.

 

"racadm config -g cfgRacTuning -o cfgRacTuneMnNwIpAddrBase xxx.xxx.xxx.xxx"

Set HKU\.DEFAULT\Software\Dell Computer Corporation\OpenManage\RacWinVnc3\HostIPAddress to be the next IP after xxx.xxx.xxx.xxx on the same network (class C)

 

restart the server.

 

gruss

ccc