Firewall meldet "Datenabhörer"

28/05/2009 - 10:46 von Angelika Kuchler | Report spam
Hallo @ all,

auf einem unserer vier Terminalserver (W2k3 R2 EE SP2) platzt das
Security-Eventlog stàndig aus allen Nàhten, weil pro Minute ca. 10 Eintràge
folgender Art geschrieben werden (gekürzt):

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: Detaillierte Überwachung
Ereigniskennung: 861
Benutzer: NT-AUTORITÄT\NETZWERKDIENST
Computer: CPTS02
Beschreibung:
Der Windows-Firewall hat eine Anwendung ermittelt, die eingehenden
Datenverkehr abhört.
Name: -
Pfad: C:\WINDOWS\system32\svchost.exe
Prozesskennung: 868
Benutzerkonto: NETZWERKDIENST
Benutzerdomàne: NT-AUTORITÄT
Dienst: Ja
RPC-Server: Nein
IP-Version: IPv4
IP-Protokoll: UDP
Portnummer: 49500
Zugelassen: Nein
Benutzer benachrichtigt: Nein

Alle anderen Server (3 x TS, SQL, Exchange, File + Print) haben damit
offenbar kein Problem. Die Firewall ist bei allen (auch beim betroffenen TS)
inaktiv, in den GPO (Comp.Konf. - Adm. Vorlagen - Netzwerk - Netzwerkverb.)
ist "Verwendung des Internetverbindungsfirewalls im eigenen
DNS-Domànennetzwerk nicht zulassen" aktiviert.

Ein Virus oder Trojaner kann ausgeschlossen werden, da mit TrendMicro,
Kapersky und Sophos überprüft -> alle drei negativ. Ohnehin halte ich die
Meldung für Unsinn, da die angemeckerten "Abhördienste" Systemdateien sind
(lsass.exe, spoolsv.exe, svchost.exe) und "Sasser" nicht sein kann - siehe
oben.

Eine Suche im Internet fördert zutage, dass das Problem auch andere haben
(ah ja), aber eigentlich auch keine Lösung wissen. Es hilft regelmàßig, den
Server neu aufzusetzen (vielen Dank, aber kein Bedarf), und viele leben
einfach mit der Überschwemmung und machen das Log entsprechend größer. Bei
ca. 80 % der im Internet gestellten Fragen zum Thema kam keine Antwort bzw.
keine sinnvolle.

Weil ich nicht mit einem Monsterlog leben will, hoffe ich auf eine
(sinnvolle ;)) Antwort auf die Frage: Gibt es eine Möglichkeit, Windows die
Ausgabe dieser Meldungen abzugewöhnen oder sie zumindest auf ein vernünftiges
Maß einzudàmmen? Trotzdem das Security-Log jetzt schon 16 MB groß ist, sind
nur knapp sechs Tage enthalten ...

Hoffnungsvolle Grüße
Angelika
 

Lesen sie die antworten

#1 Thorsten Kampe
28/05/2009 - 10:54 | Warnen spam
* Angelika Kuchler (Thu, 28 May 2009 01:46:01 -0700)
auf einem unserer vier Terminalserver (W2k3 R2 EE SP2) platzt das
Security-Eventlog stàndig aus allen Nàhten, weil pro Minute ca. 10 Eintràge
folgender Art geschrieben werden (gekürzt):

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: Detaillierte Überwachung
Ereigniskennung: 861
Benutzer: NT-AUTORITÄT\NETZWERKDIENST
Computer: CPTS02
Beschreibung:
Der Windows-Firewall hat eine Anwendung ermittelt, die eingehenden
Datenverkehr abhört.
Name: -
Pfad: C:\WINDOWS\system32\svchost.exe
Prozesskennung: 868
Benutzerkonto: NETZWERKDIENST
Benutzerdomàne: NT-AUTORITÄT
Dienst: Ja
RPC-Server: Nein
IP-Version: IPv4
IP-Protokoll: UDP
Portnummer: 49500
Zugelassen: Nein
Benutzer benachrichtigt: Nein

Alle anderen Server (3 x TS, SQL, Exchange, File + Print) haben damit
offenbar kein Problem. Die Firewall ist bei allen (auch beim betroffenen TS)
inaktiv, in den GPO (Comp.Konf. - Adm. Vorlagen - Netzwerk - Netzwerkverb.)
ist "Verwendung des Internetverbindungsfirewalls im eigenen
DNS-Domànennetzwerk nicht zulassen" aktiviert.

Ein Virus oder Trojaner kann ausgeschlossen werden, da mit TrendMicro,
Kapersky und Sophos überprüft -> alle drei negativ. Ohnehin halte ich die
Meldung für Unsinn, da die angemeckerten "Abhördienste" Systemdateien sind
(lsass.exe, spoolsv.exe, svchost.exe) und "Sasser" nicht sein kann - siehe
oben.

Eine Suche im Internet fördert zutage, dass das Problem auch andere haben
(ah ja), aber eigentlich auch keine Lösung wissen. Es hilft regelmàßig, den
Server neu aufzusetzen (vielen Dank, aber kein Bedarf), und viele leben
einfach mit der Überschwemmung und machen das Log entsprechend größer. Bei
ca. 80 % der im Internet gestellten Fragen zum Thema kam keine Antwort bzw.
keine sinnvolle.



Du mußt schon an der richtigen Stelle suchen. Und für EventIDs gibt's
nur eine:
http://eventid.net/display.asp?eventid†1&eventnoF15
&source=Security&phase=1

Zweiter und dritter Kommentar...

Thorsten

Ähnliche fragen