Hallo zusammen,
ich bin neu hier!
Ich verfolge den Blog schon eine Weile und habe auch ab und zu ins Forum geschaut, mich aber bisher nicht aktiv beteiligt. Das möchte ich jetzt ändern mit einer Frage.
Hat hier jemand Erfahrung mit einem Synology NAS, einem Mac und zusätzlich Pi-Hole (oder etwas Ähnlichem) und kann mal überprüfen, was für Aufrufe passieren, wenn der Login-Bildschirm des Synology DSM mit Safari aufgerufen wird?
Mir sind vor drei Wochen eher zufällig shady Domains (Russland ua.) in Pi-Hole-Query-Logs aufgefallen, die von meinem Mac kommen (und zum Glück alle geblockt wurden). Ich habe dann natürlich nach der Ursache gesucht und zuerst an eine Infektion oder eine schädliche Anwendung gedacht. Ich habe meinen Mac mit verschiedenen Scannern geprüft, aber nichts gefunden. Dann habe ich den Safari überprüft, ob dort möglicherweise unbekannte Plugins aktiv sind, aber auch da war nichts Auffälliges; ich habe dann auch alle Plugins deaktiviert. Schließlich habe ich einige meiner Favoritenwebsites besucht und konnte die Einträge erneut in den Logs sehen. Ich konnte das Problem eingrenzen auf den DSM-Login meiner NAS. Ich habe daraufhin alle freigegebenen Laufwerke der NAS gescannt (kein Fund), auf der NAS selbst die verfügbaren Virenscanner laufen lassen (kein Fund). Dennoch ließ sich das Verhalten reproduzieren, sobald ich mich einloggte.
Hier ist, was ich bisher festgestellt habe:
- Aufruf mit Safari → reproduzierbar
- Aufruf mit Firefox, Chrome → nicht reproduzierbar
- Ich habe eine neue MacOS-VM mit Parallels (auf demselben Mac) erstellt, Safari gestartet → reproduzierbar
- Einen Freund gebeten, seinen Mac mitzubringen (der zuvor noch nie in meinem Netzwerk oder auf meiner NAS angemeldet war) → reproduzierbar
- Normales Surfen mit Safari → nichts
- Normales Nutzen des NAS → nichts
Ich habe also 2 Macs + 1 VM, die dasselbe Verhalten zeigen: shady URLs in den Pi-Hole-Logs ausschließlich, wenn die DSM-Login-Seite aufgerufen wird.
Um das Problem weiter einzugrenzen, habe ich eine alte, ungenutzte Synology NAS, die seit 2 Jahren in der Ecke stand, mit einer SSD ausgestattet, auf der das DSM installiert wurde. Auch diese „neue“ NAS zeigt das gleiche Problem. Sobald ich die DSM-Loginseite in Safari aufrufe, versucht sie, shady Seiten zu kontaktieren (konkret mein Browser, nicht die NAS selbst).
Also habe ich 2 NAS, einen im Dauerbetrieb und einen frisch aufgesetzten, die dasselbe Verhalten zeigen.
Und das tritt tatsächlich nur beim Aufruf der DSM-Loginseite auf. Nach dem Login im DSM passiert nichts, auf anderen Websites passiert nichts. Es betrifft ausschließlich den DSM-Login.
Ich habe dann auf einem frischen Raspberry ein frisches Pi-Hole aufgesetzt und als DNS-Server eingebunden, aber auch da zeigte sich dasselbe Verhalten.
Ich habe seit 2 Wochen ein Ticket bei Synology offen, aber da geht es nicht wirklich weiter.
Falls gewünscht, kann ich die Liste der Domains hier posten, um eine bessere Einschätzung zu ermöglichen. Ich bin mir nur nicht sicher, ob das erwünscht ist.
Daher meine Frage, ob hier jemand mit Mac, Synology und Pi-Hole das versuchen kann zu reproduzieren? Oder hat jemand vielleicht eine Idee was ich noch testen könnte um die Ursache zu finden?
Danke schon mal!
