Вчера я пошел на работу, оставив свой ПК открытым, как обычно. Это Windows 10, недавно обновленная до Anniversary. Вернувшись, я пошевелил мышкой, чтобы выйти из спящего режима монитора (ПК не был в спящем режиме), и обнаружил открытый Firefox по этому адресу:
http://10.0.0.138/main.html?redirector=1
Не выполнен вход в систему, отображается запрос на ввод пароля маршрутизатора.
Что могло это сделать? Тот факт, что он redirectorтам есть, говорит о том, что это было вызвано программным обеспечением, а не тем, что кто-то (локальный или удаленный) пытался открыть страницу состояния моего маршрутизатора. Я также сомневаюсь, что это вредоносное ПО, потому что не вижу причин для вредоносного ПО делать это.
Я просмотрел журнал событий и не нашел ничего подходящего.
Маршрутизатор — это переименованный интернет-провайдерSagemcom F@st 4315.
РЕДАКТИРОВАТЬ
Это повторялось несколько раз, когда интернет был отключен. Скорее всего, какое-то программное обеспечение пытается получить доступ к интернету, как кто-то упомянул в комментариях.
Есть идеи?
решение1
Невозможно точно сказать, что именно стало причиной этого, но мы можем предположить, почему.
Вредоносная программа могла обнаружить адрес вашего маршрутизатора, просмотрев текущий шлюз по умолчанию вашего компьютера (например, проанализировав вывод ipconfig). Поскольку шлюзы по умолчанию большинства потребителей являются маршрутизаторами малого/домашнего офиса, можно с большой долей вероятности предположить, что там есть веб-интерфейс. Получение контроля над маршрутизатором было бы очень выгодно для злоумышленника, поскольку тогда у хакера была бы возможность прошить на него измененную, вредоносную версию его прошивки. Если ваш маршрутизатор будет скомпрометирован таким образом, он может быть использован удаленными злоумышленниками для проведения всех видов атак на все устройства в вашей сети.
Апрограммамогли бы делать веб-запросы к маршрутизатору напрямую, не пытаясь пройти через очень кропотливый процесс автоматизации пользовательского интерфейса браузера. Поэтому мне кажется более вероятным, что если и была атака, то она была совершеначеловек, возможно, надеясь использоватьобход аутентификацииэксплуатировать.
Было бы неплохо запустить сканирование вашего компьютера на наличие вредоносных программ. (Мне нравитсяMalwareBytes.) Также проверьте конфигурацию вашего маршрутизатора, чтобы увидеть, нет ли каких-либо нежелательных/ненужныхперенаправленные порты.
В будущем вы сможете получать полезную информацию из журналов событий, если включитеаудит процесса. Вы также можете просмотреть журнал событий безопасности на предмет события 4624 (вход в систему), которое для подключений RDP указывает удаленный IP-адрес.
решение2
OP, говорящий о том, что модем перезагрузился/интернет отключился, является весомой подсказкой. Многие поставщики интернет-услуг/кабельных модемов, включая того, которым я пользуюсь дома, используют протокол WISPr, когда у модема возникают проблемы, чтобы клиент мог увидеть ошибку в браузере.
На устройствах Apple это происходит «автоматически», в Windows или Linux для открытия веб-страницы достаточно запустить Firefox в фоновом режиме, чтобы появилось сообщение WIPSr.
См. мой ответ наОткуда Firefox знает страницу входа в систему моего интернет-провайдера?Больше подробностей.