Hallo zusammen!

Seit geraumer Zeit habe ich ein Problem im Betrieb. Der Rechner eines Kollegen versucht täglich, sofern angeschaltet, sich mit meinem Account und einem falschen Passwort auf den Firmenservern zu authentifizieren. Die Packete, zwischen 6 und 20 an der Zahl pro Versuchsintervall, lassen sich im Wireshark lesen, allerdings geben die absolut keine Informationen her, ausser der Ports. die Ports allerdings sind nur temporär und da das immer dann passiert, wenn gerade niemand am Platz ist, suche ich nun nach einem Logger, der mir die Portzuweisungen mitschreibt. Die Applikation probiert diverse Ports durch, welche alle im öffentlichen Bereich liegen, leider - wie gesagt - Sind diese alle unbelegt wenn wir nachschauen.

Um den Übeltäter zu finden, möchte ich jetzt die vergebenen Ports inkl. Anwendungsnamen mitloggen, da ich ja die Zugewiesenen Ports zu einer bestimmten Zeit in Wireshark sehe.

Kennt da jemand eine Software für? Wäre sehr sehr dankbar!

Programm = Firewall?
(also auf dem PC des Kollegen)

servus,

die firewall dürfte es nicht sein, zum einen sind die lokal bei uns nicht aktiv und zum anderen wurde erst kürzlich ne neue security suite aufgesetzt, wo eben auch ne neue FW drin war. Das Problem besteht aber schon länger.

Firewall > ein Programm zum überwachen ... diese sollte dann schon mitteilen, welches Programm da unbedingt reden will.

also in Bezug auf

Warum nicht erstmal gucken welche Ports von welchem Prozeß geöffnet werden? Du brauchst ja die Zuordnung Prozeß <-> Port. Meines Wissens nach bietet WireShark gerade das nicht. Vielleicht habe ich aber auch die Option nur bisher übersehen, lasse mich da gern positiv überraschen

Ich würde bspw. allerlei Dinge wie geplante Aufgaben (oder bei Cygwin/SUS einen cron-Job) als erstes als Ursache ausschließen. Ansonsten suchst du dir nen Ast ohne konkreten Anhaltspunkt.

Die Frage wäre ja auch, ist der Anmeldeversuch einer der einem bekannten Protokoll folgt (bspw. SMB)? Oder ist es bspw. Klartext?

Zum mitschreiben würde ich als geplante Aufgabe tcpvcon immer den aktuellen Stand (mit Zeit/Datum) an eine Textdatei anhängen lassen.

Hier kann der Microsoft Network Monitor 3.4 punkten.
NetMon zeigt sehr schön, welche Pakete zu welchem Prozess gehören.

Danke für den Hinweis.

Den blende ich irgendwie immer aus, obwohl er ja mittlerweile frei erhältlich ist.

servus,

vielen dank für eure Antworten & Tipps - das mit der firewall ist ansich ne gute idee, aber soweit ich weiss verbieten es die lokalen domänerichtlinien. Tasks etc. haben wir bereits ausgeschlossen, sql server ist runtergefahren und tüfteln mittlerweile schon einige Wochen damit herum, leider ohne erfolg. Vor ca 2 Wochen hatten wir festgestellt dass der Rechner die Aktionen immer zur gleichen Uhrzeit in der Mittagspause gestartet hat, allerdings ließ sich trotzalldem nichts mit Wireshark und netstat finden.

Zum Network analyzer: den hatte ich bisher nur für windows xp gefunden, dort erkennt man also, welcher prozess welchen port benutzt? bzw seh ich dort das gleiche wie in wireshark, nur inkl. der prozesse, die darauf zugreifen?

cmd -> netstat -ano und dann die PID im Taskman suchen

Network Monitor.

Du hast aber noch immer nicht beantwortet welche Informationen die bisher mit WireShark abgefangenen Pakete schon liefern. Bspw. welches Protokoll.