Router pingt alle 30 Sekunden Baidu.com an

[matze313]

Hallo liebes Forum,
hoffe ich bin hier richtig!

Ich habe gestern ein Pi-Hole aufgesetzt.
Funktioniert so weit auch super, Werbung wird auf allen Geräten geblockt. (Computerbase ist in der Whitelist ).

Nun habe ich allerdings eine Frage. Das Pi-Hole loggt ja alle Websitenzugriffe.
Alle 30 Sekunden wird aus meinem Netzwerk versucht, baidu.com zu besuchen.
Habe die Seite mal geblacklistet, aber er versucht es dennoch alle (exakt) 30 Sekunden.
Ich selbst war noch nie auf dieser Seite und benutze auch sonst keine chinesischen Dienste (habe auch kein chinesisches Handy).
Die IP-Adresse vom Gerät, das die Zugriffe initiiert, ist die Adresse meiner FritzBox. Die versucht es also alleine.
Habe das ausprobiert, sie macht es auch wenn alle anderen Geräte ausgeschaltet sind.

Jetzt die Frage, ist das ein Virus? Habe gegooglet und dabei nur einen Hinweis auf einen Skype-Virus gefunden, jedoch hat mir keiner von meinen Skype-Kontakten gesagt, dass ich Spam verschicke, und das Passwort ist eine 20+ Zeichen-Mischung aus Buchstaben, Sonderzeichen und Zahlen, glaube nicht, dass das geknackt wurde.

Was ist das?

LG und Danke schon mal für die Antworten,
matze

 

[Benzer]

Was ist denn bei der FB als NTP eingetragen?

 

[matze313]

Als NTP sind diese hier (die voreingestellten, da hab ich nix geändert) eingetragen:

ntp1.t-online.de; 2.europe.pool.ntp.org

 

[R O G E R]

Also hast du den Pi-Hole als Internet DNS oder Lokalen DNS Server in der FB eingetragen?
Wenn du den als Internet-DNS Server drin hast, dann gehen alle Anfragen erstmal über die FB und du siehst in deinem Pi-Hole nur Anfragen von der FB IP.
Um den Verursacher zu ermitteln, kannst du den Pi-Hole auch temporär als lokalen DNS-Server eintragen.
Dann siehst du woher die Anfrage genau kommt.

 

[Demon_666]

Irgendein Gerät aus der IoT-Welt im heimischen Netzwerk? Vielleicht ist das der Verursacher...

 

[mod666]

Hast du smarte Steckdosen daheim?

Wenn ich mich richtig erinnere ziehen sich manche Smarthome Geräte über die Seite ihre Updates.

Die Adresse kommt mir bekannt vor, ist aber ewig her, dass ich die im pihole log gesehen und dann mal nachgeforscht hatte. Bin deswegen nicht mehr 100% sicher, dass es genau die Seite ist.

Ist natürlich merkwürdig, wenn alle Geräte aus sind und trotzdem kontakt zu der Seite aufgenommen wird. Oder hast du unter Umständen ein Gerät vergessen?

 

[matze313]

@R O G E R Ich habe ihn als Internet DNS eingetragen, das macht dann natürlich Sinn.
Danke für den Tipp!

@Demon_666 Nur eine billige Smart-Watch, die ist aber mitsamt Trägerin zur Zeit nicht daheim. Kann es trotzdem daran liegen?

@mod666 Keine smarten Steckdosen, nein. Nur solche mit Funkfernbedienung

Ich hab mal noch einen Screenshot gemacht, falls das was hilft:
edit: Gerade den Screenshot genauer angeschaut, als baidu wieder gewhitelistet war, hat das Anpingen aufgehört! Kaum geblacklistet, wirds wieder alle 30 Sekunden versucht

 

[Crispy Bearcon]

Bei Client müsste doch stehen wer die Anfrage stellt oder steht bei client der Router drin?

 

[matze313]

@Hyp0cri5y Bei Client steht nur die Adresse des Routers selbst (hab sie mal lieber geschwärzt), das hat mich ja so verwirrt, weil ich es nicht zuordnen konnte.

 

[Crispy Bearcon]

Das ist merkwürdig... bei mir war eine zeit lang das mein Denon Reciever alle 10 Sekunden eine anfrage an einen Zeitserver gesendet hat der nicht mehr existiert und der Denon hat so wenig Einstellungsmöglichkeiten das man das nicht abstellen konnte.

Aber das die Anfrage von der Fritzbox kommt ist echt komisch. Kann es sein das noch Geräte im Netz sind die nicht neugestartet haben und dadurch anfragen noch an die Fritzbox gehen anstatt zum PiHole?

 

[mod666]

https://www.reddit.com/r/pihole/com..._queries_to_baidu_from_my_wifi_audio/dzlo4zo/

 

[matze313]

Also nachdem es mir zu doof war, das PiHole als lokalen DNS-Server einzurichten, hab ich einfach mal alle WLAN fähigen Geräte die rumlagen in der WG ausgeschaltet
Seit dem sind die Anfragen weg. War also eins der gemeinsam genutzten. (Entweder der China-Smart-TV, FireTV Stick oder das Tablet in der Küche mit den Kuchenrezepten).
@Demon_666 hatte wahrscheinlich doch recht, ich hab den "Smart"TV total vergessen.

Jetzt bring ich eins nach dem Anderen wieder ans Netz und warte jeweils ne Minute. Das betreffende Gerät (habe den billigen TV im gemeinsamen Wohnzimmer im Verdacht) wird dann ausgesondert, das ist mir irgendwie suspekt


Danke an Alle für die schnelle Hilfe und die Mühen!

Ich melde mich gleich wieder, welches Gerät es war.

edit: Und wie gedacht: Der Thomson 40FD406 ist der Übeltäter!

 

[mod666]

ja, bei diesem ganzen smartgedöns heutzutage kann man schon mal schnell was vergessen.

 

[matze313]

Ja, habe erstmal nur meine eigenen Geräte ausgeschaltet, aber dass der Fernseher im Stand-By alle 30 Sekunden eine chinesische Website anpingt, das find ich schon stark!

 

[Demon_666]

Kann auch harmlos sein, z.B. wegen EPG-Update oder für die Apps im TV. Gut wäre, wenn man das irgendwo in den settings abschalten/konfigurieren könnte.

 

[hantelfix]

mal
adwcleaner benutzen
https://toolslib.net/downloads/viewdownload/1-adwcleaner/



mal e-mail passwort czecken ob es gehakt wurde
https://monitor.firefox.com/
https://sec.hpi.uni-potsdam.de/ilc/search
https://breachalarm.com/
https://haveibeenpwned.com/
https://www.experte.de/email-check



mal firmware von tv machen
Thomson 40FD406
http://www.mediacenter.tcl.eu/uploads/common/V8-NT563T01-LF1V187.zip


https://www.mythomson.com/de_de/suche?q=40FD406+

 

[Demon_666]

mal
adwcleaner benutzen
https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Das geht bein einem TV-Gerät?

 

[hantelfix]

Das geht bein einem TV-Gerät?

nein nur auf pc


mal firmware von tv machen
Thomson 40FD406
http://www.mediacenter.tcl.eu/uploads/common/V8-NT563T01-LF1V187.zip

mal versuchen

https://www.mythomson.com/de_de/suche?q=40FD406+

 

[Demon_666]

Ich frage mich, ob der AdwCleaner überhaupt eine theoretisch kompromittierte Firmware eines Fernsehers zuverlässig erkennen kann.
Vermutlich ist der ping harmlos, da ansonsten nichts im heimischen Netzwerk des TE angeschlagen hat. Ich würde in erster Linie mal beim Verkäufer/Hersteller beim support anfragen.
Man kann auch dem TV im Zweifelsfall ein eigenes Subnetz mit entsprechenden Rechten verpassen. Oder mit Wireshark den traffic analysieren, möchte man wirklich sicher sein, was das Gerät da macht. Aber das ist imho Overkill.....
justmy2cents

 

[matze313]

Der TV bekommt einfach keinen Netzwerkzugriff mehr, Netflix schauen kann man ja mit der PS4 die dran angeschlossen ist. So hab ich das Problem jetzt umgangen.