Gestern ging ich zur Arbeit und ließ meinen PC wie üblich geöffnet. Es ist ein Windows 10, das kürzlich auf Anniversary aktualisiert wurde. Als ich zurückkam, bewegte ich die Maus, um den Monitor-Ruhemodus zu beenden (der PC war nicht im Ruhezustand) und fand Firefox geöffnet vor, unter dieser Adresse:
http://10.0.0.138/main.html?redirector=1
Nicht angemeldet, Eingabeaufforderung für das Router-Passwort wird angezeigt.
Was könnte das sein? Die Tatsache, dass es redirectordarin steht, lässt darauf schließen, dass es durch eine Software ausgelöst wurde und nicht, dass eine Person (entweder lokal oder remote) versucht hat, die Statusseite meines Routers zu öffnen. Ich bezweifle auch, dass es Malware ist, da ich keinen Grund dafür sehe, dass Malware so etwas tun sollte.
Ich habe mir das Ereignisprotokoll angesehen und konnte nichts Relevantes finden.
Der Router ist ein ISP-umbenannterSagemcom F@st 4315.
BEARBEITEN
Es ist mehrmals passiert, als das Internet ausgefallen war. Höchstwahrscheinlich hat eine Software versucht, auf das Internet zuzugreifen, wie jemand in den Kommentaren erwähnt hat.
Irgendwelche Ideen?
Antwort1
Man kann nicht mit Sicherheit sagen, ob eine bestimmte Sache die Ursache war, aber man kann über die Gründe spekulieren.
Ein Schadprogramm könnte die Adresse Ihres Routers herausgefunden haben, indem es sich das aktuelle Standard-Gateway Ihres Computers angesehen hat (z. B. durch Parsen der Ausgabe von ipconfig). Da die Standard-Gateways der meisten Verbraucher Router für kleine Büros/Heimbüros sind, ist es sehr wahrscheinlich, dass dort eine Weboberfläche vorhanden ist. Die Kontrolle über einen Router zu erlangen, wäre für einen Angreifer sehr vorteilhaft, da der Hacker dann die Möglichkeit hätte, eine modifizierte, bösartige Version seiner Firmware darauf zu flashen. Wenn Ihr Router auf diese Weise kompromittiert wird, kann er von Remote-Angreifern verwendet werden, um alle möglichen Angriffe auf alle Geräte in Ihrem Netzwerk durchzuführen.
AProgrammkönnte Webanfragen direkt an den Router stellen, ohne den sehr kniffligen Prozess der Automatisierung der Benutzeroberfläche eines Browsers durchlaufen zu müssen. Daher erscheint es mir wahrscheinlicher, dass ein Angriff, wenn er stattfand, von einemPerson, vielleicht in der Hoffnung, einAuthentifizierungs-Bypassausbeuten.
Es wäre eine gute Idee, einen Scan auf Malware auf Ihrem Computer auszuführen. (Ich magMalwareBytes.) Überprüfen Sie auch die Konfiguration Ihres Routers, um zu sehen, ob es unerwünschte/unnötigeWeitergeleitete Ports.
In Zukunft können Sie möglicherweise nützliche Informationen aus den Ereignisprotokollen erhalten, wenn Sie aktivierenProzessauditierungSie können auch im Sicherheitsereignisprotokoll nach Ereignis 4624 (Anmeldung) suchen, das für RDP-Verbindungen die Remote-IP-Adresse angibt.
Antwort2
Die Aussage des OP, das Modem sei neu gestartet worden/das Internet sei ausgefallen, ist ein starker Hinweis. Viele ISPs/Kabelmodemanbieter, darunter auch der, den ich zu Hause verwende, verwenden das WISPr-Protokoll, wenn das Modem ein Problem hat, damit der Kunde einen Fehler im Browser sieht.
Auf Apple-Geräten läuft es „automagisch“, unter Windows oder Linux sollte es ausreichen, Firefox im Hintergrund laufen zu lassen, damit eine WIPSr-Nachricht eine Webseite öffnet.
Meine Antwort finden Sie unterWoher erkennt Firefox die Anmeldeseite meines Internetanbieters?für mehr Details.