Ein Blog-Leser hat mich gerade kontaktiert, weil seit heute früh (10. Juni 2025) sein ESET-Virenschutz warnt, wenn die Seite *https://www.heise.de/security geöffnet wird. Der ESET-Virenschutz blockiert dann die Kommunikation zu 188.114.97.3. Die IP gehört lt. whois zu Cloudflare in Kolumbien gehört.
Der Leser hat mir folgenden Text mit der Meldung des ESET-Virenschutz geschickt:
10.06.2025 08:20:04;Verdacht auf Botnet erkannt;Blockiert;188.114.97.3:443;TCP;Botnet.CnC.Generic.B;C:\Program Files\Google\Chrome\Application\chrome.exe;Google Chrome;3B3EEC9CC1E7AB2D15A7EC4B7DA5E50DA806E5A8;Google LLC;
Kann das noch jemand feststellen? Mein schneller Versuch, die URL mittels ping anzusprechen, ergab:
ping heise.de/security Ping-Anforderung konnte Host "heise.de/security" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.
Ich habe verschiedene Varianten der URL getestet. Ergänzung: Ok, ist klar, warum es mit obiger URL im Beispiel nicht klappt (mein Fehler, Asche auf mein Haupt – es kann nur die domain per ping angerufen werden, security ist keine Subdomain) – die Domain heisec.de, die auf obige URL weiterleitet, funktioniert. Die eigenen Seiten oder heise.de kann ich dagegen anpingen.
Hat noch jemand das mit einer Warnung von Sicherheitssoftware festgestellt? Ergänzung: Scheint ein false positive der eingesetzten Sicherheitssoftware gewesen zu sein.
MVP: 2013 – 2016
Seit wann kann man irgenwas mit / pingen?!?;!
Das ist keine Subdomain
Ist inzwischen ja sachlich – und von manchen Kommentaren a bisserl polemisch – angemerkt (Asche auf mein Haupt, so was passiert) und geklärt. Danke für den Hinweis.
Warum polemisch? Entweder weiß man, was man tut, oder nicht. Ich wollte hier jetzt keine lexiaklische Aufarbeitung eröffnen, welche erklärt, was ein full qualified Hostname und was eine Webseitenadresse ist, und was "ping" (bzw. "dig" für die Freunde der Opensource-Betrübssysteme) kann, und was nicht.
Wenn man schon davon spricht man weiß was man tut, dann gehört auch dazu, dass dig und ping ganz unterschiedliche Dinge tun/prüfen. Das MS Äquivalent zu dig ist nslookup. Den Befehl ping gibt es genauso auch unter Linux.
nslookup aber auch ;-)
Die Domain heisec.de im Beitrag hat aber auch nichts mit dem Link zu tun :)
Mit ping wird das so nicht funktionieren, die Seite /security ist ja nur im Webserver verfügbar, nicht als Adresse:
ping borncity.com
Ping wird ausgeführt für borncity.com [85.13.131.150] mit 32 Bytes Daten:
Antwort von 85.13.131.150: Bytes=32 Zeit=11ms TTL=60
ping borncity.com/blog
Ping-Anforderung konnte Host "borncity.com/blog" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.
und heisec.de (lenkt auf heise.de/security um) liegt auf der gleichen Adresse wie heise.de:
ping heisec.de
Ping wird ausgeführt für heisec.de [193.99.144.80] mit 32 Bytes Daten:
Antwort von 193.99.144.80: Bytes=32 Zeit=9ms TTL=249
ping heise.de
Ping wird ausgeführt für heise.de [193.99.144.80] mit 32 Bytes Daten:
Antwort von 193.99.144.80: Bytes=32 Zeit=8ms TTL=249
Ok, danke – war zwischen Tür und Angel, der Test – hätte ich wissen und dran denken können (war aber auf dem Abflug zum Sport, ist wichtiger für mich als heise.de/security).
Jepp, kann ich bestätigen. User ESET @work blockiert es auch. Haben hier EEST in Kombination Server/Client am Arbeiten.
"ping heise.de/security"
AUTSCH!
jep, facepalm
Habe ich mir auch gedacht!
Was soll sowas? Bagatellfehler passieren jedem mal.
Moin,
für heise.de/security müsste das schon ein HTTP-Ping sein. "/security" ist ja kein Hostname.
Heise hat die Security Unterseite schon vor Monaten abgeschaltet, kam die ganze Zeit schon 404.
Ein Ping auf heise.de ergibt 193.99.144.80, auf http://www.heise.de 193.99.144.85 wie es sein soll.
Wenn der Leser eine eine andere IP auflöst, wird das Problem an seinem PC oder Netzwerk liegen, oder sein Browser meint eigenes DNS machen zu müssen und macht Mist.
Direkt daneben auf der Startseite liegt heise.de/developer – die kann man auch nicht anpingen. Den Grund hat Jens gerade geschrieben.
Wenn es ein Problem gibt, dann das von ESET genannte. Das kann ich mangels ESET nicht überprüfen.
"ping heise.de/developer"
AUTSCH!
Ja eben.
Erst komplett lesen, dann Schmerzschrei ausstoßen. ;)
Die Seite öffnet sich ganz normal, das Zertifikat ist auch in Ordnung und gehört zu heise.de, das ist bei einer Unterseite aber auch zu erwarten. Ich denke eher, da ist wieder eine Werbung auf der Seite, die das Problem auslöst. Ich habe ständig Meldungen über geblockte Seiten, die sich bei Prüfung auf die "Werbung" beziehen. Werbeblocker einschalten und neu prüfen, dann sollte es wieder funktionieren.
Wir haben ESET mal kontaktiert. Mal sehen, was von denen kommt. Über Virus Total meckern über diese IP auch einige Dienste: https://www.virustotal.com/gui/ip-address/188.114.97.3
Die Meldung von ESET (Blockiert;188.114.97.3:443) ist ja auch nicht die heise Seite selbst. Laut Virustotal handelt es sich bei der von ESET tatsächlich um eine gefährliche Seite. Ich würde auf CDN tippen, dass darüber etwas eingeschleust wird.
Wir haben heut von ESET die selbe Meldung beim Starten unseres SVN Clients bekommen..
Jap, Hier auch. Eset wirft einen Fehler bzgl. Botnet
10.06.2025 08:14:06
Suspected botnet detected
Blocked
X.X.X.X
188.114.97.3:443
TCP
Botnet.CnC.Generic.B
188.114.97.3 wird laut Enterprise-Firewall in den USA verortet und nicht als schädlich klassifiziert. Auch IPinfo lokalisiert sowohl diese IP als auch den Routing-Hop direkt davor in den USA.
Bei uns schlägt der ESET auch Alarm. Laut unserer Suche holt sich uBlock Origin seine Updatelisten von der IP:
Name: ublockorigin.pages.dev
Addresses: 2a06:98c1:3120::3
2a06:98c1:3121::3
188.114.96.3
188.114.97.3
Bei mir kommuniziert das nicht nach 188.114.97.3.
Belgien, Deutschland, Kanada und USA werden diverse services herangezogen.
whois 188.114.97.3
% Information related to '188.114.96.0 – 188.114.99.255'
inetnum: 188.114.96.0 – 188.114.99.255
netname: CLOUDFLARENET-EU
descr: CloudFlare, Inc.
descr: 101 Townsend Street, San Francisco, CA 94107, US
descr: +1 (650) 319-8930
descr: https://cloudflare.com/
country: US
TechC und AbuseC: Viktualienmarkt München :)
Selbe Meldung hier am PC – scheint zufällig aufzutauchen und nicht zu bestimmten Diensten/Webseiten zu gehören.
Die IP-Adresse 188.114.97.3 gehört zu Cloudflare.
Unter der IP-Adresse entdeckte ESET vor kurzer Zeit 4 Domains, die der Malware "Lumma" zugeordnet werden:
bassizcellskz[.]shop
byteplusx[.]digital
sparkiob[.]digital
longitudde[.]digita
Quelle: https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-lumma-stealer/
Zusammenhang zu jetzt auftretender Meldung unbekannt.
Auch wir haben Probleme mit dieser IP und der Erkennung als Botnet.CnC.Generic.B von ESET bei diversen Seiten Da Cloudflare ein CDN-Provider ist, sind die Inhalte ja nur zwischengespeichert. Laut talosintelligence hat die IP eine gute Web-Reputation, aber eine schlechte Reputation im Bereich der E-Mails (SPAM). Eventuell sollte die IP bei ESET auf der Blacklist für SPAM landen und wurde auch (fehlerhaft) für https im Web blockiert.
Marcos von ESET hat diesen Kommentar hinterlassen: "The IP address will be unblocked as of the next update today.".
https://forum.eset.com/topic/45631-possible-false-positive-%E2%80%93-ip-188114973-flagged-as-botnet-connection/
Moin,
ich habe soeben die gleiche Warnung von ESET bekommen, als ich Google Chrome gestartet habe. Im Log von ESET Endpoint Antivirus taucht auch die IP 188.114.97.3 auf.
Eine Kollegin erhielt die gleiche Warnung als sie heute Morgen das Geoinformationssystem QGIS starten wollte ("Eine Anwendung qgis-ltr-bin.exe auf Ihrem Computer versucht mit einem bösartigen server im Internet zu kommunizieren.").
Mittlerweile bekamen wir Antwort von ESET:
Guten Tag,
Vielen Dank für Ihre Anfrage.
Aufgrund des Feedbacks unseres Malware-Labors wird die IP-Adresse im nächsten Update freigegeben. In der Zwischenzeit kann eine IDS-Ausnahme erstellt werden, um die Kommunikation zu ermöglichen.
Vielen Dank an alle für eure Rückmeldungen und besonderen Dank an Günther Born für die rasche Veröffentlichung in diesem Blog.
Ist halt schon eine beeidruckende Liste Dienste, die mit heise.de/security aufgerufen werden (subdomains gelöscht)
3lift.com
4dex.io
adnxs.com
adscale.de
agma-analytics.de
casalemedia.com
cloudimg.io
connectad.io
criteo.com
cwi.re
d2ly6zhewrzsqf.cloudfront.net
d3h6e96g3llrm0.cloudfront.net
sak.userreport.com
doubleclick.net
doubleverify.com
dscd.akamai.net
id5-sync.com
indexww.com
ioam.de
jsdelivr.net
k8s-agma-envoypro-6870826197-2130618864.eu-central-1.elb.amazonaws.com
kameleoon.eu
mateti.net
nexx360-static.io
nexx360.io
privacy-mgmt.com
pubmatic.com
reachit.network
rubiconproject.com
scw.cloud
seedtag.com
teads.tv
thenewsbox.net
upscore.com
userreport.com
visx.net
webtrekk.net
wt-safetag.com
(uBlock Origin / uMatrix)
halb so wild, zumindest nutzen die keinen vpn blocker …
versucht mal "seiten für normalos" mit vpn aufzurufen wie kaufland oder … reddit
AB++
Ja, heise monetarisiert Benutzerdaten sehr breitflächig, wenn man ohne Blocker unterwegs ist. Aber irgendwoher muss die Kohle ja auch kommen…
Wenn du diese Liste schon beeindruckend findest, dann erzwing bei Heise mal die Anzeige der Cookie-Einwilligungsmeldung (Filter/Blocker deaktivieren, Cookies löschen, Seite neu laden usw.) und stell die entsprechenden Freigaben manuell ein!
NA dann Klick mal beim Coockie Banner auf konfigurieren und klick dich durch… das ist erst der Anfang ;-P
Da kriegste dann die ganze perverse Fratze der WerbeMAFIA zu sehen…
Wir hatten heute in unserem Netz auch hunderte geblockte Zugriffe durch Eset mit der selben IP:
masterserv7.com 188.114.96.3
masterserv7.com 188.114.97.3
ad.adsrvx-track.com 188.114.97.3
ad.adsrvx-track.com 188.114.96.3
Vermuteten erst einen durchgedrehten Werbedienstleister, konnten das aber vorerst ausschließen. Dennoch kam es definitiv von einem 3rd-Party Widget / Iframe. Irgendwas scheint dort verbaut gewesen zu sein, dass Eset (falsch positiv?) erkannt hat.
Seit 14:09 Uhr haben wir keine Einschläge mehr verzeichnet.
Wir hatten ca. 18 Uhr den Fall dass ein einzelner Aufruf des Externen Downloads für Malwarebytes bei heise Software auf ne russische Seite ging, danach wieder auf die normale.. irgendein Cache poisoning irgendwo, habe aber nix stichhaltiges wo. Würde aber nun unterstellen, dass gerade mehr Dinge passieren. Auch wenn man keine URLs anpingt. (das stirbt nie aus)
Bin deswegen hier gelandet.
Wir hatten heute massive Probleme mit ms365 Diensten, die wurden wia akamai cdn alle nach Brasilien oder Australien geleitet, was aber wegen geoblocking verhindert wird. Anschluss ist Glas bei der tkom.
haben auch stundenlang mit smokeping geschaut. Direkte Server waren in ordnung, aber Youtube, google und Outlook.office.com mit Response Zeiten von jenseits der 200ms.
Haben aber nix im Netz finden können.
Cloudflare ist eine Spielwiese für fehlerhafte und Malwareseiten. Es gibt keinen hohen Mehrwert über CDN von Cloudflare zu hosten, weil die nicht Probleme beseitigen, sondern Probleme bringen oder man bezahlt sich dumm und dösig für Zusatzfirewalls. Auch Amazon AWS ist nicht besser. Bei hohem Traffic, wie heise de, ist es sicherer über mehrere IPs von verschiedenen gespiegelten Servern (kleines eigenes CDN) zu hosten, die man selber abgesichert hat, durch Firewalls mit Blacklisten von z.b. Anti-Attacks com
Guten Tag,
wir haben seit gestern die gleiche Meldung vom ESET bei verschiedenen Kunden.
Ist auch immer an die gleiche IP-Adresse gerichtet: 188.114.97.3:443
Dachte mir schon das es sich um ein False-Positiv, handelt.
– Hier die Bestätigung von ESET: https://forum.eset.com/topic/45631-possible-false-positive-%E2%80%93-ip-188114973-flagged-as-botnet-connection/