Algo abriu a página de status do meu roteador enquanto eu estava ausente

Algo abriu a página de status do meu roteador enquanto eu estava ausente

Ontem fui trabalhar, deixando meu PC aberto normalmente. É um Windows 10, atualizado recentemente para Anniversary. Depois que voltei, movi o mouse para sair do modo de suspensão do monitor (o PC não estava em suspensão) e encontrei o Firefox aberto, neste endereço:

http://10.0.0.138/main.html?redirector=1

Não logado, mostrando a solicitação de senha do roteador.

O que poderia fazer isso? O fato de conter redirectorsugere que foi acionado por um software, e não que alguma pessoa (local ou remota) tentou abrir a página de status do meu roteador. Também duvido que seja malware, porque não vejo razão para o malware fazer isso.

Dei uma olhada no log de eventos e não encontrei nada relevante.

O roteador é renomeado pelo ISPSagemcom F@st 4315.

EDITAR

Aconteceu novamente várias vezes quando a internet caiu. Provavelmente algum software tentando acessar a internet, como alguém mencionou nos comentários.

Alguma ideia?

Responder1

Não é possível dizer com certeza que determinada coisa causou isso, mas podemos especular sobre o porquê.

Um programa malicioso pode ter descoberto o endereço do seu roteador observando o gateway padrão atual do seu computador (por exemplo, analisando a saída de ipconfig). Como a maioria dos gateways padrão dos consumidores são roteadores para pequenos escritórios/escritórios domésticos, é provável que exista uma interface web lá. Obter o controle de um roteador seria muito bom para um invasor, porque o hacker teria então a opção de instalar nele uma versão modificada e maliciosa de seu firmware. Se o seu roteador for comprometido dessa forma, ele poderá ser usado por adversários remotos para montar todos os tipos de ataques em todos os dispositivos da sua rede.

Aprogramapoderia fazer solicitações da web diretamente ao roteador, sem tentar passar pelo complicado processo de automatizar a interface do usuário de um navegador. Portanto, parece-me mais provável que, se houve um ataque em curso, este tenha sido perpetrado por umpessoa, talvez esperando usar umdesvio de autenticaçãoexplorar.

Seria uma boa ideia executar uma verificação de malware em seu computador. (Eu gostoMalwareBytes.) Verifique também a configuração do seu roteador para ver se há alguma configuração indesejada/desnecessária.portas encaminhadas.

No futuro, você poderá obter informações úteis dos logs de eventos se ativarauditoria de processos. Você também pode procurar no log de eventos de segurança o evento 4624 (logon), que para conexões RDP especifica o endereço IP remoto.

Responder2

O OP dizendo que o modem foi reiniciado/a Internet caiu é uma pista forte. Muitos fornecedores de ISPs/modem a cabo, incluindo aquele que uso em casa, usam o protocolo WISPr quando o modem apresenta um problema, para que o cliente veja um erro no navegador.

Nos dispositivos Apple é "automágico", no Windows ou Linux deve ser suficiente ter o Firefox rodando em segundo plano para que uma mensagem WIPSr abra uma página web.

Veja minha resposta emComo o Firefox conhece minha página de login do ISP?para mais detalhes.

informação relacionada