In den letzten 24 h belegt eine Domain namens "google-gemma.com" Platz 1 in top permitted domains. Diese Domain hat aber nichts mit Google zu tun, sondern gehört einem Domain-Parkplatz in Arizona. Ich habe die Domain jetzt geblockt.
Bei mir laufen die meisten Abfragen über Pi-hole auf einer Synology Diskstation. Als DNS ist in der Pi-hole der Router eingestellt mit DoH (DNS over HTTPS) bei Quad9.
Zugriff von außen gibt es auf Port 443 mit Reverse Proxy und Geoblocking für Deutschland plus Threat Prevention.
Wie finde ich raus, woher die Anfrage kommt?

Alles was Du tust geht also in das LLM der Google AI

Noch etwas ist seltsam. Normalerweise ist es so, wenn eine Domain blockiert wird, dass dann viele Einträge von dieser Domain in Blocked Domains von Pi-hole sind.
Nachdem ich diese Domain blockiert habe, kam noch genau einmal die Query (A, AAAA, HTTPS) und seitdem nichts mehr. Vorher 13387 Anfragen in 24 h.

Ich bin jetzt nicht paranoid, aber es ist unbefriedigend, dass nicht zu erkennen ist, welches Programm diese Anfragen sendet.

Die Frage ist, warum bei Dir unter Client nur "localhost" steht. Mit meiner Konfiguration steht unter Client jeweils der Client, der die DNS-Anfrage an den PiHole sendet, wie es sich gehört. Hast Du Conditional Forwarding konfiguriert? Falls nein könnte das schon helfen.

Gute Frage, das schaue ich mir heute an. Die Hälfte der Queries ist von localhost.
Conditional Forwarding ist eingestellt. Ich habe mich dabei an die Kuketz-Anleitung gehalten . Der einzige Unterschied ist, dass ich DoH statt DoT nutze (das liegt am Synology Router).

Das steht doch im Protokoll. Die Anfrage wurde von "localhost" versendet, also von pihole selbst. Der Grund ist, dass pihole einen Bezug auf google-gemma.com gefunden, aber diesen Namen als verdächtig eingestuft hat (Einstufung "BOGUS"). Es könnte z.B. sein, dass Du DNSSEC-Überprüfung konfiguriert hast, aber der Anbieter dieser geparkten Domain kein richtiges Zertifikat bereitstellt.

Geparkt? https://google-gemma.com sieht komischster Chinaware aus

Bei mir ist nichts zu sehen, der Inhalt der Website ist komplett geblockt.
Die Anfragen waren doch nicht gleichmäßig über den Tag verteilt, sondern gestern Nacht bis 9 Uhr morgens bis zum Zeitpunkt als ich mich an den Rechner gesetzt habe.
Vielleicht hatte ich nachts nur eine Website offen mit blockierter Werbung. Kann das sein?
Ja, DNSSEC ist in Pi-hole aktiviert. DoH von Quad9 unterstützt DNSSEC und Malicious Blocking.

Ja, aber Pi-hole kommt nicht allein auf die Idee. Die Query muss schon von einem anderen Gerät und Anwendung herrühren.

ssb
Bei mir läuft Little Snitch. Aus China (siehe Hinweis von albrox) kommen nur Verbindungen mit Safari. Russland ist ohnehin geblockt. China könnte ich gleich dazunehmen.

Ich weiß nicht welche Geräte in deinem Netzwerk genutzt werden, aber wenigstens für Macs kannst du es mal mit LuLu versuchen.
Für andere Geräte könnte nur helfen, diese einzeln mal für einen Tag nicht ins Netz zu lassen, dann hast du immerhin schon mal das Gerät identifiziert und kannst dich auf die Suche nach der App machen.

Keine Ahnung, was Du damit meinst, aber der DNS-Server dieser Domain liegt bei "DNS-parking.com", der Provider ist RETN Networks und die Webseite liefert einen 404-Status ("nicht gefunden"), der mit Werbung für "Google Gemma" zugekleistert ist.


Das ist unwahrscheinlich. Ich kenne Deine Konfiguration nicht, aber es ist denkbar, dass pihole bei falschen DNS-Zertifikaten regelmäßig für eine bestimmte Zeit Wiederholungsversuche auf eigene Faust ausführt.

Nur die allererste Anfrage. Die oben im Protokoll sichtbaren kommen dagegen eindeutig von pihole selbst. Du müsste solange im Protokoll zurückgehen, bis Du die erste Anfrage für diesen Namen findest, falls das noch möglich ist.

Danke, wusste ich nicht. Ich habe also die long-term data für 7 Tage aufgerufen und nach google-gemma gesucht. Tatsächlich sind die Einträge zwischen 20:31 und 6:59. Die Einträge danach waren nur meine Versuche die Website aufzurufen.
Die ältesten Einträge liefern mir allerdings auch keinen Hinweis auf die Herkunft.
Es sei denn es war wirklich localhost, z.B. Surveillance auf der Diskstation.

Geparkt, 404? Das sagt mein Nameserver:

Non-authoritative answer:
Name: google-gemma.com
Address: 154.41.249.122

Und so sieht die Seite aus:

Die Seite wird bei mir geblockt und hat auch nichts mit Google zu tun, siehe https://browserleaks.com/ip/google-gemma.com
Die Original-Website von Google für Gemma sieht so aus: https://ai.google.dev/gemma?hl=de

Entschuldige bitte, ich wollte die Seite in keiner Weise legitimieren – mein Beitrag war rein informativer Natur. Die Seite sieht ganz ohne Frage unseriös aus, es gibt aber scheinbar unterschiedliche DNS-Stände. Ich nutze keine externen DNS.

Wenn sich irgendein Gerät mit einer derartigen Adresse verbinden möchte, dann kann das nur problematischen Ursprungs sein.

Das dürfte aber dann wahrscheinlich daran liegen, dass der entscheidende Eintrag schon aus dem vorhandenen Log-Speicherintervall gefallen ist.

Es war ganz bestimmt localhost. Traust Du jetzt Pi-hole selbst nicht mehr?

Vielleicht, aber je nach dem wie Pi-hole dort läuft (nativ / in einer Virtuellen Maschine / per Docker / hinter einem Virtuellen Netzwerk-Switch, usw.) würde die Diskstation dort auch mit ihrem Namen auftauchen.

Nicht wirklich, denn Du verbreitest Desinformation. Es war sogar schon in der Originalfrage klargestellt, dass die Seite weder etwas mit Google, noch mit Gemma zu tun hat.

Nein, gibt es nicht. Welchem Provider die Seite gehört und welche Rolle sie spielt, war oben schon geklärt.

Auch das kann man so nicht behaupten. Ein solcher Mechanismus wird oft eingesetzt, um Tippfehler von Benutzern für seine eigenen Werbezwecke auszunutzen, wie z.B. "appel.com" oder "mircosoft.de". Dazu braucht man keinen "problematischen Ursprung". Es reicht schon, wenn ein solcher Link auf einer seriösen Webseite oder in einem Textdokument aus Versehen genannt war, z.B. aufgrund von automatischer Rechtschreibkorrektur. Er braucht nicht einmal angeklickt zu werden.

Sorry, Du meintest hier offenbar die "allererste" Nennung des Namens, die wir suchen. Das hatte ich erst falsch verstanden.

Das Log-Speicherintervall reicht 7 Tage zurück. Die ersten Einträge von google-gemma lagen etwas mehr als einen Tag zurück. Die allerersten Einträge von google-gemma sind oben in meinem Screenshot von gestern 11:03.
Das war eher meine Unsicherheit, was alles unter localhost fällt: Die Diskstation auf der Pi-hole läuft, die Diskstation selbst, die Apps von Synology?
Der größere Teil der Anwendungen im Netz läuft allerdings auf einem anderen Gerät.
Pi-hole ist in einem Docker-Container im Synology-Betriebssystem DSM.

Danke für Eure Antworten!

Ich muss doch sehr bitten! Verbreitete ich Desinformation, stünde ja eine Absicht dahinter. Mein Beitrag mag Dich verärgert haben, Desinformation ist er aber gewiss nicht.

Er enthielt ganz im Gegenteil eine Bestätigung, dass der Server nach wie vor problemlos erreichbar ist und auf keine Fehlerseite leitet. Der Screenshot diente zur Information, wie diese Seite aussieht.

Doch, gibt es. Nicht alle DNS-Daten sind von allen DNS-Servern geliefert gleich aktuell.

Oh, bitte! Dann wäre es aber arg seltsam, hätte sich jemand vertippt, indem er https://google-gemma.com, anstelle von https://ai.google.dev/gemma eingegeben hätte.

Ich kann Deiner Antwort kaum etwas anderes als eine große Lust auf Widerworte entnehmen.