Podczas mojej nieobecności coś otworzyło stronę stanu routera

Wczoraj poszedłem do pracy, pozostawiając mój komputer otwarty jak zwykle. Jest to Windows 10, ostatnio zaktualizowany do Anniversary. Po powrocie przesunąłem mysz, aby wyjść z trybu uśpienia monitora (komputer nie był w trybie uśpienia) i znalazłem Firefox otwarty pod tym adresem:

http://10.0.0.138/main.html?redirector=1

Nie zalogowany, wyświetla monit o hasło routera.

Co może to zrobić? Fakt, że jest redirectorw nim, sugeruje, że został on wyzwolony przez oprogramowanie, a nie, że ktoś (lokalny lub zdalny) próbował otworzyć stronę statusu mojego routera. Wątpię również, czy jest to złośliwe oprogramowanie, ponieważ nie widzę powodu, aby to robić.

Rzuciłem okiem na dziennik zdarzeń i nie znalazłem nic istotnego.

Router to Sagemcom F @ st 4315, zmieniony przez ISP .

EDYTOWAĆ

Zdarzyło się to kilka razy, gdy Internet był wyłączony. Najprawdopodobniej niektóre programy próbują uzyskać dostęp do Internetu, jak ktoś wspomniał w komentarzach.

Jakieś pomysły?

Nie można definitywnie stwierdzić, że spowodowała to pewna rzecz, ale możemy spekulować, dlaczego.

Złośliwy program mógł wykryć adres routera, patrząc na bieżącą domyślną bramę komputera (np. Analizując dane wyjściowe ipconfig). Ponieważ domyślnymi bramami większości konsumentów są routery dla małych biur / biur domowych, dobrze jest założyć, że jest tam interfejs internetowy. Przejęcie kontroli nad routerem byłoby bardzo dobre dla atakującego, ponieważ haker miałby wówczas opcję flashowania zmodyfikowanej, złośliwej wersji swojego oprogramowania układowego. Jeśli router zostanie w ten sposób zagrożony, zdalni przeciwnicy mogą go wykorzystać do przeprowadzenia wszelkiego rodzaju ataków na wszystkie urządzenia w sieci.

Program mógłby żądań internetowych bezpośrednio do routera, nie próbując przejść przez bardzo skomplikowanego procesu automatyzacji interfejsu użytkownika za pomocą przeglądarki. Dlatego wydaje mi się bardziej prawdopodobne, że jeśli miał miejsce atak, był on popełniany przez osobę , być może z nadzieją na wykorzystanie luki w uwierzytelnianiu .

Dobrym pomysłem byłoby uruchomienie skanowania w poszukiwaniu złośliwego oprogramowania na komputerze. (Podoba mi się MalwareBytes .) Sprawdź również konfigurację routera, aby sprawdzić, czy są jakieś niepożądane / niepotrzebne przekierowane porty .

W przyszłości możesz uzyskać przydatne informacje z dzienników zdarzeń, jeśli włączysz kontrolę procesu . Możesz także przejrzeć dziennik zdarzeń bezpieczeństwa pod kątem zdarzenia 4624 (logowania), które dla połączeń RDP określa zdalny adres IP.

PO, mówiąc, że modem uruchomił się ponownie / Internet nie działa, jest silną wskazówką. Wielu dostawców usług internetowych / modemów kablowych, w tym ten, z którego korzystam w domu, korzysta z protokołu WISPr, gdy modem ma problem, aby klient mógł zobaczyć błąd w przeglądarce.

Na urządzeniach Apple jest to „automagic”, w systemie Windows lub Linux powinno wystarczyć, aby Firefox działał w tle, aby komunikat WIPSr otworzył stronę internetową.

Zobacz moją odpowiedź na stronie Skąd Firefox zna moją stronę logowania do ISP? po więcej szczegółów.