Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Netzwerke
>
Pi-hole meldet zahlreiche Zugriffe auf dubiose Domain
Pi-hole meldet zahlreiche Zugriffe auf dubiose Domain
sudoRinger
06.07.24
21:14
In den letzten 24 h belegt eine Domain namens "google-gemma.com" Platz 1 in top permitted domains. Diese Domain hat aber nichts mit Google zu tun, sondern gehört einem Domain-Parkplatz in Arizona. Ich habe die Domain jetzt geblockt.
Bei mir laufen die meisten Abfragen über Pi-hole auf einer Synology Diskstation. Als DNS ist in der Pi-hole der Router eingestellt mit DoH (DNS over HTTPS) bei Quad9.
Zugriff von außen gibt es auf Port 443 mit Reverse Proxy und Geoblocking für Deutschland plus Threat Prevention.
Wie finde ich raus, woher die Anfrage kommt?
Hilfreich?
-1
Kommentare
tjost
06.07.24
21:44
Alles was Du tust geht also in das LLM der Google AI
Hilfreich?
-7
sudoRinger
07.07.24
00:25
Noch etwas ist seltsam. Normalerweise ist es so, wenn eine Domain blockiert wird, dass dann viele Einträge von dieser Domain in Blocked Domains von Pi-hole sind.
Nachdem ich diese Domain blockiert habe, kam noch genau einmal die Query (A, AAAA, HTTPS) und seitdem nichts mehr. Vorher 13387 Anfragen in 24 h.
Ich bin jetzt nicht paranoid, aber es ist unbefriedigend, dass nicht zu erkennen ist, welches Programm diese Anfragen sendet.
Hilfreich?
+2
marcel151
07.07.24
06:44
Die Frage ist, warum bei Dir unter Client nur "localhost" steht. Mit meiner Konfiguration steht unter Client jeweils der Client, der die DNS-Anfrage an den PiHole sendet, wie es sich gehört. Hast Du Conditional Forwarding konfiguriert? Falls nein könnte das schon helfen.
Hilfreich?
+1
sudoRinger
07.07.24
08:47
marcel151
Die Frage ist, warum bei Dir unter Client nur "localhost" steht.
Gute Frage, das schaue ich mir heute an. Die Hälfte der Queries ist von localhost.
Conditional Forwarding ist eingestellt. Ich habe mich dabei an die Kuketz-Anleitung gehalten
. Der einzige Unterschied ist, dass ich DoH statt DoT nutze (das liegt am Synology Router).
Hilfreich?
-1
Marcel Bresink
07.07.24
09:47
sudoRinger
Wie finde ich raus, woher die Anfrage kommt?
Das steht doch im Protokoll. Die Anfrage wurde von "localhost" versendet, also von pihole selbst. Der Grund ist, dass pihole einen Bezug auf google-gemma.com gefunden, aber diesen Namen als verdächtig eingestuft hat (Einstufung "BOGUS"). Es könnte z.B. sein, dass Du DNSSEC-Überprüfung konfiguriert hast, aber der Anbieter dieser geparkten Domain kein richtiges Zertifikat bereitstellt.
Hilfreich?
+3
albrox
07.07.24
09:54
Geparkt? https://google-gemma.com sieht komischster Chinaware aus
Hilfreich?
0
sudoRinger
07.07.24
10:08
albrox
Geparkt? https://google-gemma.com sieht komischster Chinaware aus
Bei mir ist nichts zu sehen, der Inhalt der Website ist komplett geblockt.
Die Anfragen waren doch nicht gleichmäßig über den Tag verteilt, sondern gestern Nacht bis 9 Uhr morgens bis zum Zeitpunkt als ich mich an den Rechner gesetzt habe.
Vielleicht hatte ich nachts nur eine Website offen mit blockierter Werbung. Kann das sein?
Marcel Bresink
Es könnte z.B. sein, dass Du DNSSEC-Überprüfung konfiguriert hast, aber der Anbieter dieser geparkten Domain kein richtiges Zertifikat bereitstellt.
Ja, DNSSEC ist in Pi-hole aktiviert. DoH von Quad9
unterstützt DNSSEC und Malicious Blocking.
Marcel Bresink
sudoRinger
Wie finde ich raus, woher die Anfrage kommt?
Das steht doch im Protokoll.
Ja, aber Pi-hole kommt nicht allein auf die Idee. Die Query muss schon von einem anderen Gerät und Anwendung herrühren.
ssb
Bei mir läuft Little Snitch. Aus China (siehe Hinweis von albrox) kommen nur Verbindungen mit Safari. Russland ist ohnehin geblockt. China könnte ich gleich dazunehmen.
Hilfreich?
-1
ssb
07.07.24
10:11
Ich weiß nicht welche Geräte in deinem Netzwerk genutzt werden, aber wenigstens für Macs kannst du es mal mit LuLu versuchen.
Für andere Geräte könnte nur helfen, diese einzeln mal für einen Tag nicht ins Netz zu lassen, dann hast du immerhin schon mal das Gerät identifiziert und kannst dich auf die Suche nach der App machen.
Hilfreich?
0
Marcel Bresink
07.07.24
10:39
albrox
Geparkt? https://google-gemma.com sieht komischster Chinaware aus
Keine Ahnung, was Du damit meinst, aber der DNS-Server dieser Domain liegt bei "DNS-parking.com", der Provider ist RETN Networks und die Webseite liefert einen 404-Status ("nicht gefunden"), der mit Werbung für "Google Gemma" zugekleistert ist.
sudoRinger
Vielleicht hatte ich nachts nur eine Website offen mit blockierter Werbung. Kann das sein?
Das ist unwahrscheinlich. Ich kenne Deine Konfiguration nicht, aber es ist denkbar, dass pihole bei falschen DNS-Zertifikaten regelmäßig für eine bestimmte Zeit Wiederholungsversuche auf eigene Faust ausführt.
Marcel Bresink
Ja, aber Pi-hole kommt nicht allein auf die Idee. Die Query muss schon von einem anderen Gerät und Anwendung herrühren.
Nur die allererste Anfrage. Die oben im Protokoll sichtbaren kommen dagegen eindeutig von pihole selbst. Du müsste solange im Protokoll zurückgehen, bis Du die erste Anfrage für diesen Namen findest, falls das noch möglich ist.
Hilfreich?
+3
sudoRinger
07.07.24
11:03
Marcel Bresink
Ja, aber Pi-hole kommt nicht allein auf die Idee. Die Query muss schon von einem anderen Gerät und Anwendung herrühren.
Nur die allererste Anfrage. Die oben im Protokoll sichtbaren kommen dagegen eindeutig von pihole selbst. Du müsste solange im Protokoll zurückgehen, bis Du die erste Anfrage für diesen Namen findest, falls das noch möglich ist.
Danke, wusste ich nicht. Ich habe also die long-term data für 7 Tage aufgerufen und nach google-gemma gesucht. Tatsächlich sind die Einträge zwischen 20:31 und 6:59. Die Einträge danach waren nur meine Versuche die Website aufzurufen.
Die ältesten Einträge liefern mir allerdings auch keinen Hinweis auf die Herkunft.
Es sei denn es war wirklich localhost, z.B. Surveillance auf der Diskstation.
Hilfreich?
-1
Au
08.07.24
11:50
Geparkt, 404? Das sagt mein Nameserver:
Non-authoritative answer:
Name: google-gemma.com
Address: 154.41.249.122
Und so sieht die Seite aus:
Hilfreich?
0
sudoRinger
08.07.24
12:05
Au
Geparkt, 404? Das sagt mein Nameserver:
Non-authoritative answer:
Name: google-gemma.com
Address: 154.41.249.122
Die Seite wird bei mir geblockt und hat auch nichts mit Google zu tun, siehe https://browserleaks.com/ip/google-gemma.com
Die Original-Website von Google für Gemma sieht so aus: https://ai.google.dev/gemma?hl=de
Hilfreich?
0
Au
08.07.24
12:15
sudoRinger
Die Seite wird bei mir geblockt und hat auch nichts mit Google zu tun, siehe https://browserleaks.com/ip/google-gemma.com
Die Original-Website von Google für Gemma sieht so aus: https://ai.google.dev/gemma?hl=de
Entschuldige bitte, ich wollte die Seite in keiner Weise legitimieren – mein Beitrag war rein informativer Natur. Die Seite sieht ganz ohne Frage unseriös aus, es gibt aber scheinbar unterschiedliche DNS-Stände. Ich nutze keine externen DNS.
Wenn sich irgendein Gerät mit einer derartigen Adresse verbinden möchte, dann kann das nur problematischen Ursprungs sein.
Hilfreich?
0
Marcel Bresink
08.07.24
17:33
sudoRinger
Die ältesten Einträge liefern mir allerdings auch keinen Hinweis auf die Herkunft.
Das dürfte aber dann wahrscheinlich daran liegen, dass der entscheidende Eintrag schon aus dem vorhandenen Log-Speicherintervall gefallen ist.
sudoRinger
Es sei denn es war wirklich localhost,
Es war ganz bestimmt localhost. Traust Du jetzt Pi-hole selbst nicht mehr?
sudoRinger
z.B. Surveillance auf der Diskstation.
Vielleicht, aber je nach dem wie Pi-hole dort läuft (nativ / in einer Virtuellen Maschine / per Docker / hinter einem Virtuellen Netzwerk-Switch, usw.) würde die Diskstation dort auch mit ihrem Namen auftauchen.
Au
mein Beitrag war rein informativer Natur.
Nicht wirklich, denn Du verbreitest Desinformation. Es war sogar schon in der Originalfrage klargestellt, dass die Seite weder etwas mit Google, noch mit Gemma zu tun hat.
Au
es gibt aber scheinbar unterschiedliche DNS-Stände.
Nein, gibt es nicht. Welchem Provider die Seite gehört und welche Rolle sie spielt, war oben schon geklärt.
Au
Wenn sich irgendein Gerät mit einer derartigen Adresse verbinden möchte, dann kann das nur problematischen Ursprungs sein.
Auch das kann man so nicht behaupten. Ein solcher Mechanismus wird oft eingesetzt, um Tippfehler von Benutzern für seine eigenen Werbezwecke auszunutzen, wie z.B. "appel.com" oder "mircosoft.de". Dazu braucht man keinen "problematischen Ursprung". Es reicht schon, wenn ein solcher Link auf einer seriösen Webseite oder in einem Textdokument aus Versehen genannt war, z.B. aufgrund von automatischer Rechtschreibkorrektur. Er braucht nicht einmal angeklickt zu werden.
Hilfreich?
+1
Marcel Bresink
08.07.24
17:43
Marcel Bresink
sudoRinger
Es sei denn es war wirklich localhost,
Es war ganz bestimmt localhost.
Sorry, Du meintest hier offenbar die "allererste" Nennung des Namens, die wir suchen. Das hatte ich erst falsch verstanden.
Hilfreich?
0
sudoRinger
08.07.24
17:45
Marcel Bresink
Das dürfte aber dann wahrscheinlich daran liegen, dass der entscheidende Eintrag schon aus dem vorhandenen Log-Speicherintervall gefallen ist.
Das Log-Speicherintervall reicht 7 Tage zurück. Die ersten Einträge von google-gemma lagen etwas mehr als einen Tag zurück. Die allerersten Einträge von google-gemma sind oben in meinem Screenshot von gestern 11:03.
Es sei denn es war wirklich localhost,
Es war ganz bestimmt localhost. Traust Du jetzt Pi-hole selbst nicht mehr?
Das war eher meine Unsicherheit, was alles unter localhost fällt: Die Diskstation auf der Pi-hole läuft, die Diskstation selbst, die Apps von Synology?
Der größere Teil der Anwendungen im Netz läuft allerdings auf einem anderen Gerät.
Vielleicht, aber je nach dem wie Pi-hole dort läuft (nativ / in einer Virtuellen Maschine / per Docker / hinter einem Virtuellen Netzwerk-Switch, usw.) würde die Diskstation dort auch mit ihrem Namen auftauchen.
Pi-hole ist in einem Docker-Container im Synology-Betriebssystem DSM.
Danke für Eure Antworten!
Hilfreich?
0
Au
08.07.24
18:57
Marcel Bresink
Nicht wirklich, denn Du verbreitest Desinformation. Es war sogar schon in der Originalfrage klargestellt, dass die Seite weder etwas mit Google, noch mit Gemma zu tun hat.
Ich muss doch sehr bitten! Verbreitete ich Desinformation, stünde ja eine Absicht dahinter. Mein Beitrag mag Dich verärgert haben, Desinformation ist er aber gewiss nicht.
Er enthielt ganz im Gegenteil eine Bestätigung, dass der Server nach wie vor problemlos erreichbar ist und auf keine Fehlerseite leitet. Der Screenshot diente zur Information, wie diese Seite aussieht.
Nein, gibt es nicht. Welchem Provider die Seite gehört und welche Rolle sie spielt, war oben schon geklärt.
Doch, gibt es. Nicht alle DNS-Daten sind von allen DNS-Servern geliefert gleich aktuell.
Auch das kann man so nicht behaupten. Ein solcher Mechanismus wird oft eingesetzt, um Tippfehler von Benutzern für seine eigenen Werbezwecke auszunutzen, wie z.B. "appel.com" oder "mircosoft.de". Dazu braucht man keinen "problematischen Ursprung". Es reicht schon, wenn ein solcher Link auf einer seriösen Webseite oder in einem Textdokument aus Versehen genannt war, z.B. aufgrund von automatischer Rechtschreibkorrektur. Er braucht nicht einmal angeklickt zu werden.
Oh, bitte! Dann wäre es aber arg seltsam, hätte sich jemand vertippt, indem er https://google-gemma.com, anstelle von https://ai.google.dev/gemma eingegeben hätte.
Ich kann Deiner Antwort kaum etwas anderes als eine große Lust auf Widerworte entnehmen.
Hilfreich?
+1
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.
Übersicht: Lieferzeiten für die neuen Macs
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Eskalationskurs: ARM kündigt Qualcomm die Desig...
M4 Max: Noch beeindruckendere Benchmark-Ergebni...
Apples Eskalationskurs und Gebühren-Wirrwarr
2025: Apple und Smart Home
Apple plant IP-Kameras
Mac mini mit M4