Вчера я пошел на работу, оставив свой ПК открытым, как обычно. Это Windows 10, недавно обновленная до годовщины. Вернувшись, я переместил мышь, чтобы выйти из режима ожидания монитора (ПК не был в спящем режиме), и обнаружил, что Firefox открыт по этому адресу:
http://10.0.0.138/main.html?redirector=1
Не вошел в систему, показывая запрос пароля маршрутизатора.
Что может сделать это? Тот факт, что в нем есть, redirector
говорит о том, что он был вызван программным обеспечением, а не о том, что какой-то человек (локальный или удаленный) пытался открыть страницу состояния моего маршрутизатора. Я также сомневаюсь, что это вредоносное ПО, потому что я не вижу причин, по которым вредоносное ПО может это сделать.
Я взглянул на журнал событий и не смог найти ничего подходящего.
Маршрутизатор представляет собой Sagemcom F @ st 4315 с интернет-провайдером .
РЕДАКТИРОВАТЬ
Это случилось снова несколько раз, когда интернет был недоступен. Скорее всего, какое-то программное обеспечение пытается получить доступ к Интернету, о чем кто-то упоминал в комментариях.
Любые идеи?
источник
Ответы:
Невозможно окончательно сказать, что это вызвано определенной вещью, но мы можем размышлять о том, почему.
Вредоносная программа могла обнаружить адрес вашего маршрутизатора, посмотрев на текущий шлюз вашего компьютера по умолчанию (например, проанализировав выходные данные
ipconfig
). Поскольку шлюзами по умолчанию для большинства потребителей являются маршрутизаторы для небольших офисов / домашних офисов, неплохо было бы предложить веб-интерфейс. Получение контроля над роутером было бы очень полезно для злоумышленника, потому что хакер мог бы перешить на него измененную, вредоносную версию своей прошивки. Если ваш маршрутизатор скомпрометирован таким образом, он может использоваться удаленными злоумышленниками для организации всевозможных атак на все устройства в вашей сети.Программа может сделать веб - запросы к маршрутизатору напрямую , не пытаясь пройти через очень неудобный процесс автоматизации пользовательского интерфейса браузера. Поэтому мне кажется более вероятным, что, если произошла атака, она была совершена человеком , возможно, надеющимся использовать обход аутентификации .
Было бы неплохо запустить сканирование на наличие вредоносных программ на вашем компьютере. (Мне нравится MalwareBytes .) Также проверьте конфигурацию вашего маршрутизатора, чтобы увидеть, есть ли нежелательные / ненужные перенаправленные порты .
В будущем вы сможете получить полезную информацию из журналов событий, если включите аудит процессов . Вы также можете просмотреть журнал событий безопасности для события 4624 (вход в систему), который для соединений RDP указывает удаленный IP-адрес.
источник
ОП говорит, что модем перезагружен / интернет не работает, является сильной подсказкой. Многие поставщики услуг Интернета / кабельные модемы, в том числе тот, который я использую дома, используют протокол WISPr, когда у модема есть проблема, чтобы клиент увидел ошибку в браузере.
В устройствах Apple это «автоматика», в Windows или Linux должно быть достаточно, чтобы Firefox работал в фоновом режиме, чтобы сообщение WIPSr открывало веб-страницу.
См. Мой ответ в разделе Как Firefox узнает мою страницу входа в интернет-провайдера? Больше подробностей.
источник