e2e4 10 Geschrieben 28. April 2005 Melden Teilen Geschrieben 28. April 2005 Salut, in meine "Ereignisanzeige - Sicherheit" sind verschiedene Einträge in unterschiedlichen Abständen (auch nicht allzu häufig), so z.B.: Ereignistyp: Fehlerüberw.Ereignisquelle: Security Ereigniskategorie: Detaillierte Überwachung Ereigniskennung: 861 Datum: 28.04.2005 Zeit: 19:17:18 Benutzer: NT-AUTORITÄT\SYSTEM Beschreibung: Der Windows-Firewall hat eine Anwendung ermittelt, die eingehenden Datenverkehr abhört. Name: - Pfad: C:\WINXP\system32\svchost.exe Prozesskennung: 1128 Benutzerkonto: SYSTEM Benutzerdomäne: NT-AUTORITÄT Dienst: Ja RPC-Server: Nein IP-Version: IPv4 IP-Protokoll: UDP Portnummer: 5261 Zugelassen: Nein Benutzer benachrichtigt: Nein Ereignistyp: Fehlerüberw.Ereignisquelle: Security Ereigniskategorie: Detaillierte Überwachung Ereigniskennung: 861 Datum: 28.04.2005 Zeit: 21:24:08 Benutzer: NT-AUTORITÄT\SYSTEM Beschreibung: Der Windows-Firewall hat eine Anwendung ermittelt, die eingehenden Datenverkehr abhört. Name: - Pfad: C:\WINXP\system32\lsass.exe Prozesskennung: 752 Benutzerkonto: SYSTEM Benutzerdomäne: NT-AUTORITÄT Dienst: Ja RPC-Server: Nein IP-Version: IPv4 IP-Protokoll: UDP Portnummer: 7086 Zugelassen: Nein Benutzer benachrichtigt: Nein Event-ID ohne sinnvollen Hinweis (http://www.eventid.net/display.asp?...ecurity&phase=1). netstat zeigt auch nichts an. Der "OfficeScanNTListener" hat 46279 als Port. Es ist irritiert mich, dass auch der NTP-Abfrage auftaucht, als "nicht zugelassen" definiert wird, aber funktioniert, siehe hier: Ereignistyp: Fehlerüberw.Ereignisquelle: Security Ereigniskategorie: Detaillierte Überwachung Ereigniskennung: 861 Datum: 28.04.2005 Zeit: 21:17:30 Benutzer: NT-AUTORITÄT\SYSTEM Computer: NC6000 Beschreibung: Der Windows-Firewall hat eine Anwendung ermittelt, die eingehenden Datenverkehr abhört. Name: - Pfad: C:\WINXP\system32\svchost.exe Prozesskennung: 1128 Benutzerkonto: SYSTEM Benutzerdomäne: NT-AUTORITÄT Dienst: Ja RPC-Server: Nein IP-Version: IPv4 IP-Protokoll: UDP Portnummer: 123 Zugelassen: Nein Benutzer benachrichtigt: Nein Jmd eine Idee wie diese Einträge zustande kommen? Grüße, e2e4 Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 29. April 2005 Melden Teilen Geschrieben 29. April 2005 ... mich erinnert die lsass.exe irgendwie an den Sasser-Virus. Guck doch mal hier: http://www.heise.de/newsticker/meldung/47037 ist aber mehr so "Administration by Gefühl" Gruss Robert Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 29. April 2005 Autor Melden Teilen Geschrieben 29. April 2005 Einen Virus schliesse ich aus, denn TrendMicro Office Scan G-DATA AVK 12 SpyBot Search & Destroy LavaSoft Ad-Aware zeigen nichts dergleichen an. Ausserdem nutzen der Zeitdienst die svchost.exe und die entsprechenden Ports. Hat keiner ebenfalls derartige Einträge im Sicherheitsprotokoll? Grüße, e2e4 Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 29. April 2005 Melden Teilen Geschrieben 29. April 2005 Hi, lass mal einen Sniffer mitlaufen, dann siehst du, welche Pakete es betrifft. Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 29. April 2005 Autor Melden Teilen Geschrieben 29. April 2005 Ich habe seit ein paar Stunden die Outpost installiert und die Windows Firewall deaktiviert. Dort ist bisher nichts auffälliges zu sehen. Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 3. Mai 2005 Autor Melden Teilen Geschrieben 3. Mai 2005 Lösung gefunden: Die Einträge erscheinen von internen Prozessen (z.B. vom Windows Updater-Dienst) Besonders gut sieht man derartiges nach einem Neustart. Festgestellt werden kann dies mittels dem Process Explorer und dort auf den entsprechenden svchost-Prozessen (ID vergleichen) doppelklicken und den "TCP/IP"-Tab abwählen. Grüße, e2e4 Zitieren Link zu diesem Kommentar
Sizza 10 Geschrieben 21. September 2005 Melden Teilen Geschrieben 21. September 2005 Hallo allerseits, muss mit meinem ersten Post gleich nochmal ein älteres Thema aufwärmen: Wir haben hier in unserer (SBS-2003er)-Domäne genau das gleiche Problem an XP Pro SP2-Rechnern (nicht aber an W2k SP4-Rechnern): ca. alle 5-10 Minuten taucht in unregelmäßigen Abständen in der Ereignisanzeige/Sicherheit der Clients oben genanntes Fehlerüberwachungsereignis auf: ---- Der Windows-Firewall hat eine Anwendung ermittelt, die eingehenden Datenverkehr abhört. Name: lsass Pfad: C:\WINDOWS\System32\LSASS.EXE Prozesskennung: 712 Benutzerkonto: SYSTEM Benutzerdomäne: NT-AUTORITÄT Dienst: Ja RPC-Server: Nein IP-Version: IPv4 IP-Protokoll: UDP Portnummer: 1709 Zugelassen: Nein Benutzer benachrichtigt: Nein ---- Die Portnummern sind nie gleich, sondern in unregelmäßigen Intervallen ansteigend. An sich wäre es ja nicht weiter tragisch, wenn die Firewall die Ereignisanzeige mit dieser Meldung flooded, jedoch beeinflusst diese Meldung, bzw. die Ursache dieser Meldung den Workflow mancher unserer Rechner immens: immer zeitgleich zur Meldung fängt die Sanduhr am Cursor kurz zu laufen an und die Fenster unseres FIBU-Programms (Sage OfficeLine 3.x) verlieren den Fokus (d.h. sie minimieren sich, bzw. werden in den Hintergrund verschoben), was zu massiven Irritationen Seitens der User führt. Bei anderen Rechnern ohne FIBU sieht man nur kurz die Sanduhr aufblinken, was die User nicht weiter zu stören scheint. Jedoch haben auch diese Rechner die zeitgleichen Einträge in der Ereignisanzeige/Sicherheit. Die Deaktivierung der Firewall löst dieses Problem nicht, lediglich die Meldungen in der Ereignisanzeige werden damit unterbunden, diese sind aber eher Symptom als Ursache. Genauso das Hinzufügen von lsass.exe zu den Firewall-Ausnahmen. Auch die temporäre Deaktivierung diverser Dienste, der AV (Trendmicro OfficeScan), der Automatischen Updates und das ausstöpseln der Rechnerperipherie hatten bisher keinen Erfolg. Ebenso kann ich Viren, Würmer etc. ausschliessen. Auch Ad-Aware und HJT zeigen nichts aussergewöhnliches an... MS-Knowledgebase und Google sind auch schon mehrfach nach einer Lösung durchforstet worden - wiederum ohne Erfolg. Eine Gemeinsamkeit zu e2e4 ist natürlich, dass wir beide TrendMicro OfficeScan benutzen, jedoch denke ich, dass die Kombination OfficeScan & XP tausendfach getestet sein müsste... Bevor ich nun eine Supportanfrage bei MS aufmache, dachte ich mir, ich frag hier mal nach, ob mir jemand einen Wink in die richtige Richtung geben kann... Grüße, Sizza Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 21. September 2005 Melden Teilen Geschrieben 21. September 2005 Der Diesnt LSASS ist doch für die Benutzeranmeldung zuständig. Er stellt also eine Verbindung zu einem Server/Domäncontroller her und öffnet einen dynamischen Port, damit der Server auch antworten kann. Wenn der dynmaische Port blockiert wird (wie bei Euch), habt Ihr ein Problem. Ich hatte in der Fa. mit der Symantec-Firewall mit speziellen Roles einige Probleme das richtig zu konfiguieren. Eure Firewall ist möglicherweise nicht korrekt konfiguriert... -Zahni Zitieren Link zu diesem Kommentar
Sizza 10 Geschrieben 26. September 2005 Melden Teilen Geschrieben 26. September 2005 Danke für den Tip! Werde ich gleich mal näher austesten... :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.