Hallo,
Hier läuft ein MacBookPr0 16", late 2019 mit Big Sur 11.2.3.
Im Log meines Pi-hole tauch immer wieder die Domain "r3.o.lencr.org" auf. Der Pi-hole blockt diese Aufrufe zwar immer; mich würde aber interessieren woher diese Aufrufe kommen?
Google sagt, dass es sich hierbei um Malware handelt, die sich allerdings scheinbar nur auf Windows Rechnern einnistet. Ich habe Malwarebytes laufen lassen, jedoch wurde beim Scan nichts gefunden.
Surfen auf fragwürdigen Seiten ? Nein, heute z.B. taucht der Aufruf zwischen Chefkoch.de und Kochbar.de auf. Dies ist jedoch nicht reproduzierbar. Das Erscheinen dieses Aufrufs sieht alles ziemlich willkürlich auf.

Meine Frage nun: Was bedeuten diese Aufrufe? Habe ich mir Malware eingefangen ?
Danke und Gruß
Chuby

Hört sich so an, als ob in einem der Werbebanner Malware versteckt ist. Das Banner und die Malware wurden vom Pihole geblockt. Selbst ohne Schwarzes Loch wäre nichts dramatisches passiert, wenn die Quelle von google stimmt und das reine win-malware ist. Von daher, alles gut und keine Panik.
Malware ist mit ein Grund, warum Onlinewerbung inzwischen vielen Nutzern so verhasst ist (neben Tracking, zu viel Werbung auf der Seite und blinkender und flackernder Gestaltung). Solange sich an diesen Punkten nichts grundsätzliches ändert wird es mit einer besseren Akzeptanz der Werbung auch nichts werden. Nur kapiert die blöde Industrie das nicht

Gut, dann bin ich ja beruhigt...brauch ch mich dann nicht mehr drum zu kümmern.
Schönes Wochenende
Gruß Chuby

Nutzt du in deinem Netzwerk, oder auf dem Mac, ein "LetsEncrypt" Zertifikat?

Die Whois Daten von lencr.org und letsencrypt.org scheinen zumindest gleich zu sein. Auch ein Blogeintrag auf LetsEncrypt vom Dez. 2020 deutet darauf hin, dass die Domain zu denen gehört.

Ja, auf meinem NAS habe ein LetsEncrypt Zertifikat...allerdings sind die Ports 80 und 443 in meiner Fritz!box geschlossen und werden nur kurz geöffnet wenn das Zertifikat erneuert werden muss.Ja, sieht so aus. Was würdest Du jetzt machen? Die lencr.org auf die Whitelist setzen?

Gruß Chuby

Was du jetzt machen sollst, kann ich dir nicht sagen. Ich kann dir nur mal ein paar Überlegungen auf den Weg geben.

1. Im Pihole kannst du ja sehen, wer die DNS Anfrage stellt.
2. Es kann natürlich sein das Malware über eine Subdomain von Letsencrypt ausgeliefert wird, dass das aber länger unentdeckt bliebe, halte ich für unwahrscheinlich.
3. Man kann den Blocklisten im Pihole auch nicht immer uneingeschränkt trauen. Diese werden auch nur von Menschen gepflegt und die machen Fehler.
4. Hast du Einschränkungen im Netzwerk durch das Blocken?
5. Manche von den Removal Tools die einem die Googletreffer unterjubeln, scheinen auch mehr als nur fragwürdig zu sein

Die DNS Anfragen der letzten 7 Tage kommen von unser beiden MacBooks, einem iPad und von einer Linux VM die auf meinem MacBook läuft; also nicht von dem NAS auf dem das Lets Encrypt Zertifikat installiert ist.
Da ich keinerlei Einschränkung im Netzwerk spüre, werde ich das Blocken weiter zulassen.

Danke für Deine Hilfe
Gruß Chuby

Hier wäre dann der Kontext interessant. Rufen die Geräte die Domain auf, wenn du auf das NAS zugreifst um ggf. bei der CA die Gültigkeit des Zertifikats zu überprüfen?
Wenn du keine Einschränkungen merkst, dann blocke es weiter.

Das iPad greift definitiv nicht auf das NAS zu und ist -im Moment des DNS Aufrufs- gar nicht in Benutzung. Trotzdem taucht des iPad mit dem DNS Aufruf "r3.o.lencr.org" im Phiole auf.
Kann mir darauf keinen Reim mehr machen. Ich blocke weiter...

Gruß Chuby

Nur mal so zur Info.

https://letsencrypt.org/docs/lencr.org/

Hi, hier auf meinem iMac mit Mojave hab ich das auch.
Das sagt Little Snitch dazu :





Habe noch nicht die App gefunden

"r3.o.lencr.org" ist einer der Sicherheits-Server der Let's Encrypt-Organisation, über den Daten über zurückgezogene Zertifikate veröffentlicht werden.

Aus der Tatsache, dass es auch Malware gibt, der jemand ungeschickterweise den gleichen Namen gegeben hat, wie diesem Server, darf man keine falschen Schlüsse ziehen.

Wer den Server blockt, reduziert damit seine Netzwerksicherheit, denn die Vertrauensdienste in den verschiedenen Betriebssystemen (bei Apple zum Beispiel "trustd") können dann keine aktuellen Informationen mehr erhalten, ob ein Let's Encrypt-Zertifikat zurückgezogen werden musste.

Wen ich das richtig sehe, werden alle Deine Clients, sobald sie eine Webseite aufrufen welche über ein Letsencrypt Zertifikat verfügt die Domain lencr.org aufrufen, um zu überprüfen, ob das Zertifikat noch gültig ist oder zurückgerufen wurde. Dabei geht es nicht um Dein Zertifikat sondern generell alle im Web. Siehe auch

Wenn Du diese Abfrage blockst, kann diese Überprüfung nicht mehr stattfinden, was aber auch dazu führen kann, dass Dein Browser beim Aufruf der Seite etwas langsamer ist, da er das Zertifikat überprüfen will und nicht kann. Moderne Browser wissen das aber und handeln entsprechend. Den alten IE konnte man so noch völlig blockieren.

Was Lernern wir aus der Geschichte?
Es wird dich das Blockieren mal wieder das genaue Gegenteil erreicht was man eigentlich wollte. Anstatt mehr Sicherheit durch PiHole etc. schießt man sich ins Knie und sorgt lieber dafür, das Zertifikate nicht mehr überprüft werden können
Soll nun nicht heißt es, das diese Filter schlecht sind, aber man muß auch da wissen, was man tut oder besser nicht

Vielen Dank Marcel für Deine Hilfe !
Gruß Chuby

Also ich habe (wieder mal) gelernert, dass es viele hilfsbereite Menschen in diesem Forum gibt die sich viel Mühe machen anderen Menschen zu helfen. Finde ich gut und bin immer wieder dankbar dafür.

Gruß Chuby

Auch Dir vielen Dank Olly. Die Domain ist jetzt auf meiner Whitelist. Alles gut
Gruß Chuby