어제는 평소처럼 PC를 열어두고 출근했습니다. 최근 Anniversary로 업데이트된 Windows 10입니다. 돌아온 후 마우스를 움직여 모니터 절전 모드(PC가 절전 모드에 있지 않음)에서 나오자 다음 주소에서 Firefox가 열려 있는 것을 발견했습니다.
http://10.0.0.138/main.html?redirector=1
로그인되지 않았으며 라우터 비밀번호 프롬프트가 표시됩니다.
무엇을 할 수 있습니까? 그 안에 있다는 사실은 redirector그것이 소프트웨어에 의해 촉발된 것이지 어떤 사람(로컬이든 원격이든)이 내 라우터 상태 페이지를 열려고 시도했다는 것을 암시합니다. 나는 또한 그것이 맬웨어인지 의심합니다. 맬웨어가 그렇게 할 이유가 없기 때문입니다.
이벤트 로그를 살펴보았는데 관련 내용을 찾을 수 없었습니다.
라우터는 ISP 브랜드로 변경되었습니다.사젬컴 F@st 4315.
편집하다
인터넷이 다운되었을 때 이런 일이 여러 번 반복되었습니다. 누군가가 댓글에서 언급했듯이 일부 소프트웨어가 인터넷에 액세스하려고 할 가능성이 높습니다.
어떤 아이디어가 있나요?
답변1
어떤 것이 원인이라고 단정적으로 말할 수는 없지만 그 이유에 대해서는 추측할 수 있습니다.
악성 프로그램이 컴퓨터의 현재 기본 게이트웨이를 확인하여(예: 의 출력을 구문 분석하여) 라우터 주소를 발견했을 수 있습니다 ipconfig. 대부분의 소비자의 기본 게이트웨이는 소규모 사무실/홈 오피스 라우터이므로 거기에 웹 인터페이스가 있는 것이 좋습니다. 라우터를 제어하는 것은 해커가 라우터에 수정된 악성 버전의 펌웨어를 플래시할 수 있는 옵션을 갖게 되므로 공격자에게 매우 좋습니다. 라우터가 이러한 방식으로 손상되면 원격 공격자가 네트워크의 모든 장치에 모든 종류의 공격을 가하는 데 사용될 수 있습니다.
ㅏ프로그램브라우저 UI를 자동화하는 매우 까다로운 프로세스를 거치지 않고도 라우터에 직접 웹 요청을 할 수 있습니다. 따라서 공격이 진행 중이었다면 이는 누군가에 의해 자행되었을 가능성이 더 높습니다.사람, 아마도인증 우회악용하다.
컴퓨터에서 악성 코드 검사를 실행하는 것이 좋습니다. (좋아요MalwareBytes.) 또한 라우터 구성을 확인하여 바람직하지 않거나 불필요한 구성이 있는지 확인하세요.전달된 포트.
나중에 활성화하면 이벤트 로그에서 유용한 정보를 얻을 수 있습니다.프로세스 감사. RDP 연결에 대해 원격 IP 주소를 지정하는 이벤트 4624(로그온)에 대한 보안 이벤트 로그를 확인할 수도 있습니다.
답변2
모뎀이 재부팅되었거나 인터넷이 다운되었다는 OP는 강력한 단서입니다. 제가 집에서 사용하는 것을 포함하여 많은 ISP/케이블 모뎀 공급업체는 모뎀에 문제가 있을 때 고객이 브라우저에서 오류를 볼 수 있도록 WISPr 프로토콜을 사용하고 있습니다.
Apple 장치에서는 "자동"이며, Windows 또는 Linux에서는 WIPSr 메시지가 웹 페이지를 열 수 있도록 Firefox를 백그라운드에서 실행하는 것으로 충분합니다.
내 답변을 참조하세요.Firefox는 내 ISP 로그인 페이지를 어떻게 알 수 있나요?상세 사항은.