Um den Übeltäter zu finden, möchte ich jetzt die vergebenen Ports inkl. Anwendungsnamen mitloggen, da ich ja die Zugewiesenen Ports zu einer bestimmten Zeit in Wireshark sehe.
Warum nicht erstmal gucken welche Ports von welchem Prozeß geöffnet werden? Du brauchst ja die Zuordnung Prozeß <-> Port. Meines Wissens nach bietet WireShark gerade das nicht. Vielleicht habe ich aber auch die Option nur bisher übersehen, lasse mich da gern positiv überraschen
Ich würde bspw. allerlei Dinge wie geplante Aufgaben (oder bei Cygwin/SUS einen cron-Job) als erstes als Ursache ausschließen. Ansonsten suchst du dir nen Ast ohne konkreten Anhaltspunkt.
Die Frage wäre ja auch, ist der Anmeldeversuch einer der einem bekannten Protokoll folgt (bspw. SMB)? Oder ist es bspw. Klartext?
Zum mitschreiben würde ich als geplante Aufgabe
tcpvcon immer den aktuellen Stand (mit Zeit/Datum) an eine Textdatei anhängen lassen.