Что-то открывало страницу статуса моего роутера пока меня не было

Question

Вчера я пошел на работу, оставив свой ПК открытым, как обычно. Это Windows 10, недавно обновленная до годовщины. Вернувшись, я переместил мышь, чтобы выйти из режима ожидания монитора (ПК не был в спящем режиме), и обнаружил, что Firefox открыт по этому адресу:

http://10.0.0.138/main.html?redirector=1

Не вошел в систему, показывая запрос пароля маршрутизатора.

Что может сделать это? Тот факт, что в нем есть redirector говорит о том, что он был вызван программным обеспечением, а не о том, что какой-то человек (локальный или удаленный) пытался открыть страницу состояния моего маршрутизатора. Я также сомневаюсь, что это вредоносное ПО, потому что я не вижу причин, по которым вредоносное ПО может это сделать.

Я взглянул на журнал событий и не смог найти ничего подходящего.

Маршрутизатор представляет собой Sagemcom F @ st 4315 с интернет-провайдером.

РЕДАКТИРОВАТЬ

Это случилось снова несколько раз, когда интернет не работал. Скорее всего, какое-то программное обеспечение пытается получить доступ к Интернету, о чем кто-то упоминал в комментариях.

Есть идеи?

Answer 1

Невозможно окончательно сказать, что это вызвано определенной вещью, но мы можем размышлять о том, почему.

Вредоносная программа могла обнаружить адрес вашего маршрутизатора, посмотрев на текущий шлюз вашего компьютера по умолчанию (например, проанализировав вывод ipconfig). Поскольку шлюзами по умолчанию для большинства потребителей являются маршрутизаторы для небольших офисов / домашних офисов, неплохо было бы предложить веб-интерфейс. Получение контроля над роутером было бы очень хорошо для злоумышленника, потому что хакер мог бы перешить на него измененную, вредоносную версию своей прошивки. Если ваш маршрутизатор скомпрометирован таким образом, он может использоваться удаленными злоумышленниками для организации всевозможных атак на все устройства в вашей сети.

Программа может отправлять веб-запросы непосредственно к маршрутизатору, не пытаясь выполнить очень сложный процесс автоматизации пользовательского интерфейса браузера. Поэтому мне кажется более вероятным, что если происходила атака, она была совершена человеком, возможно, надеющимся использовать обход аутентификации .

Было бы неплохо запустить сканирование на наличие вредоносных программ на вашем компьютере. (Мне нравится MalwareBytes.) Также проверьте конфигурацию вашего маршрутизатора, чтобы увидеть, есть ли какие-либо нежелательные / ненужные перенаправленные порты.

В будущем вы сможете получить полезную информацию из журналов событий, если включите аудит процессов. Вы также можете просмотреть журнал событий безопасности для события 4624 (вход в систему), который для соединений RDP указывает удаленный IP-адрес.