Ayer fui a trabajar dejando mi PC abierta como siempre. Es un Windows 10, actualizado recientemente a Anniversary. Después de regresar, moví el mouse para salir del modo de suspensión del monitor (la PC no estaba en suspensión) y encontré Firefox abierto, en esta dirección:
http://10.0.0.138/main.html?redirector=1
No ha iniciado sesión y muestra la solicitud de contraseña del enrutador.
¿Qué podría hacerlo? El hecho de que lo tenga redirectorsugiere que fue activado por un software, y no que alguna persona (ya sea local o remota) intentó abrir la página de estado de mi enrutador. También dudo que sea malware, porque no veo ninguna razón para que el malware haga eso.
Eché un vistazo al Registro de eventos y no pude encontrar nada relevante.
El enrutador es un ISP renombradoSagemcom F@st 4315.
EDITAR
Esto volvió a suceder varias veces cuando no había internet. Lo más probable es que algún software intente acceder a Internet, como alguien mencionó en los comentarios.
¿Algunas ideas?
Respuesta1
No es posible decir definitivamente que algo lo causó, pero podemos especular sobre por qué.
Un programa malicioso podría haber descubierto la dirección de su enrutador mirando la puerta de enlace predeterminada actual de su computadora (por ejemplo, analizando la salida de ipconfig). Dado que las puertas de enlace predeterminadas de la mayoría de los consumidores son enrutadores para oficinas pequeñas o domésticas, es una buena apuesta que haya una interfaz web allí. Obtener el control de un enrutador sería muy bueno para un atacante porque entonces tendría la opción de instalar en él una versión modificada y maliciosa de su firmware. Si su enrutador se ve comprometido de esa manera, adversarios remotos pueden usarlo para montar todo tipo de ataques en todos los dispositivos de su red.
Aprogramapodría realizar solicitudes web al enrutador directamente sin intentar pasar por el complicado proceso de automatizar la interfaz de usuario de un navegador. Por lo tanto, me parece más probable que si hubo un ataque, fuese perpetrado por unpersona, tal vez esperando usar unomisión de autenticaciónexplotar.
Sería una buena idea ejecutar un análisis en busca de malware en su computadora. (Me gustaMalwareBytes.) También verifique la configuración de su enrutador para ver si hay algún problema no deseado/innecesario.puertos reenviados.
En el futuro, es posible que pueda obtener información útil de los registros de eventos si habilitaauditoría de procesos. También puede buscar en el registro de eventos de seguridad el evento 4624 (inicio de sesión), que para conexiones RDP especifica la dirección IP remota.
Respuesta2
El OP que dice que el módem se reinició o que Internet no funcionó es una buena pista. Muchos proveedores de ISP/módem por cable, incluido el que uso en casa, utilizan el protocolo WISPr cuando el módem tiene un problema, para que el cliente vea un error en el navegador.
En los dispositivos Apple, es "automágico", en Windows o Linux, debería ser suficiente tener Firefox ejecutándose en segundo plano para que un mensaje WIPSr abra una página web.
Vea mi respuesta en¿Cómo sabe Firefox la página de inicio de sesión de mi ISP?para más detalles.