昨日、いつものように PC を開いたまま仕事に行きました。Windows 10 で、最近 Anniversary にアップデートしました。帰宅後、マウスを動かしてモニターのスリープ モードを解除すると (PC はスリープ状態ではありませんでした)、次のアドレスで Firefox が開いていました。
http://10.0.0.138/main.html?redirector=1
ログインしていないため、ルーターのパスワードプロンプトが表示されます。
何が原因でしょうか?redirectorそこに存在するという事実は、誰かが (ローカルまたはリモート) ルーターのステータス ページを開こうとしたのではなく、ソフトウェアによってトリガーされたことを示唆しています。マルウェアがこれを行う理由がわからないため、マルウェアである可能性も低いと思います。
イベント ログを確認しましたが、関連するものは何も見つかりませんでした。
ルーターはISPのブランド名を変更したものサジェムコム ファースト 4315。
編集
インターネットがダウンしているときに、同じことが何度か起こりました。コメントで誰かが言っていたように、おそらく何らかのソフトウェアがインターネットにアクセスしようとしたのでしょう。
何か案は?
答え1
何かが原因であると断言することはできませんが、その理由について推測することはできます。
悪意のあるプログラムは、コンピュータの現在のデフォルト ゲートウェイを調べることで (たとえば、 の出力を解析することによってipconfig)、ルーターのアドレスを発見した可能性があります。ほとんどの消費者のデフォルト ゲートウェイは小規模オフィス/ホーム オフィスのルーターであるため、そこに Web インターフェイスがある可能性は高いです。ルーターの制御権をハッカーが取得できれば、ルーターに悪意のあるファームウェアの改変版をフラッシュできるオプションが得られるため、攻撃者にとっては非常に有利です。ルーターがそのように侵害されると、リモートの攻撃者がそれを使用して、ネットワーク上のすべてのデバイスにあらゆる種類の攻撃を仕掛けることができます。
あプログラムブラウザのUIを自動化するという非常に面倒なプロセスを経ることなく、ルーターに直接Webリクエストを送信できます。したがって、攻撃が行われていた場合、それは人、おそらく使用することを望んでいる認証バイパス悪用する。
コンピュータ上でマルウェアスキャンを実行することをお勧めします。(私はマルウェアバイトルーターの設定も確認して、不要な設定がないか確認してください。転送されたポート。
将来的には、イベントログを有効にすると、有用な情報を取得できるようになるかもしれません。プロセス監査また、セキュリティ イベント ログでイベント 4624 (ログオン) を調べることもできます。このイベントは、RDP 接続の場合、リモート IP アドレスを指定します。
答え2
OP がモデムが再起動した/インターネットがダウンしたと言っているのは、強力な手がかりです。私が自宅で使用しているものも含め、多くの ISP/ケーブル モデム ベンダーは、モデムに問題がある場合、WISPr プロトコルを使用して、顧客がブラウザーでエラーを確認できるようにしています。
Apple デバイスでは「自動」で行われますが、Windows または Linux では、WIPSr メッセージで Web ページを開くには、Firefox をバックグラウンドで実行するだけで十分です。
私の回答はFirefox はどのようにして ISP ログイン ページを認識するのでしょうか?詳細については。