昨天我去上班,電腦像往常一樣開著。這是 Windows 10,最近更新為週年紀念版。回來後,我移動滑鼠退出監視器睡眠模式(PC沒有處於睡眠狀態),我發現Firefox打開了,地址是:
http://10.0.0.138/main.html?redirector=1
未登錄,顯示路由器密碼提示。
能做什麼呢?事實上,它redirector
表明它是由軟體觸發的,而不是某人(本地或遠端)試圖打開我的路由器狀態頁面。我也懷疑它是惡意軟體,因為我看不出惡意軟體這樣做的理由。
我查看了事件日誌,但找不到任何相關內容。
該路由器是 ISP 重新命名的薩基姆 F@st 4315。
編輯
當網路故障時,這種情況又發生了好幾次。正如有人在評論中提到的,很可能是某些軟體試圖存取網路。
有任何想法嗎?
答案1
不可能明確地說是某件事造成的,但我們可以推測原因。
惡意程式可能透過查看電腦目前的預設閘道(例如透過解析 的輸出ipconfig
)發現了您的路由器位址。由於大多數消費者的預設閘道是小型辦公室/家庭辦公室路由器,因此很有可能那裡有一個網路介面。控制路由器對於攻擊者來說非常有好處,因為駭客可以選擇將修改後的惡意版本的韌體刷新到路由器上。如果您的路由器以這種方式受到損害,遠端攻擊者就可以利用它對您網路上的所有裝置發動各種攻擊。
A程式可以直接向路由器發出 Web 請求,而無需嘗試執行瀏覽器 UI 自動化的非常繁瑣的過程。因此,在我看來更有可能的是,如果發生了攻擊,那麼它是由一個人,也許希望使用身份驗證繞過開發。
在您的電腦上執行惡意軟體掃描是個好主意。 (我喜歡惡意軟體位元組。轉送連接埠。
將來,如果啟用,您也許能夠從事件日誌中獲取有用的信息過程審核。您也可以查看安全事件日誌中的事件 4624(登入),該事件會為 RDP 連線指定遠端 IP 位址。
答案2
OP 說調變解調器重新啟動/互聯網已關閉是一個強有力的線索。許多 ISP/電纜數據機供應商(包括我在家使用的供應商)在數據機出現問題時都使用 WISPr 協議,以便客戶在瀏覽器中看到錯誤。
在 Apple 裝置中,它是“自動的”,在 Windows 或 Linux 中,讓 Firefox 在後台運行就足以讓 WIPSr 訊息打開網頁。
請參閱我的回答Firefox 如何知道我的 ISP 登入頁面?更多細節。