Ben yokken yönlendiricimin durum sayfasını açtı

Dün işe gittim, bilgisayarımı her zamanki gibi açık bıraktım. Son zamanlarda Yıldönümü olarak güncellenen bir Windows 10. Geri döndükten sonra, monitör uyku modundan çıkmak için fareyi hareket ettirdim (PC uykuda değildi) ve Firefox'u şu adreste açık buldum:

http://10.0.0.138/main.html?redirector=1

Oturum açılmadı, yönlendirici parola istemini gösteriyor.

Ne yapabilirdi ki? Sahip olduğu gerçeği redirectorbunun bir yazılım tarafından tetiklenen olduğunu ve (yerel veya uzak olarak) bazı kişi benim yönlendirici durumu sayfasını açmaya çalıştı değil düşündürmektedir içinde. Kötü amaçlı yazılım olduğundan da şüpheliyim, çünkü kötü amaçlı yazılımın bunu yapmasının bir nedenini görmüyorum.

Etkinlik Günlüğüne bir göz attım ve alakalı bir şey bulamadım.

Yönlendirici, ISS tarafından yeniden markalanan Sagemcom F @ st 4315'dir .

DÜZENLE

İnternet kapatıldığında tekrar birkaç kez oldu. Birisi yorumlarda belirtildiği gibi, büyük olasılıkla internete erişmeye çalışan bazı yazılımlar.

Herhangi bir fikir?

Belirli bir şeyin buna neden olduğunu kesin olarak söylemek mümkün değildir, ancak neden hakkında spekülasyon yapabiliriz.

Kötü amaçlı bir program, bilgisayarınızın geçerli varsayılan ağ geçidine bakarak (örneğin çıkışını ayrıştırarak ipconfig) yönlendiricinizin adresini bulmuş olabilir . Çoğu tüketicinin varsayılan ağ geçitleri küçük ofis / ev-ofis yönlendiricileri olduğundan, orada bir web arayüzü olması iyi bir seçimdir. Bir yönlendiricinin kontrolünü ele geçirmek bir saldırgan için çok iyi olacaktır, çünkü bilgisayar korsanı daha sonra ürün yazılımının değiştirilmiş, kötü amaçlı bir sürümünün üzerine yanıp sönme seçeneğine sahip olacaktır. Yönlendiricinizin bu şekilde güvenliği ihlal edilirse, uzak rakipler tarafından ağınızdaki tüm cihazlara her türlü saldırıyı monte etmek için kullanılabilir.

Bir program , bir tarayıcının kullanıcı arayüzünü otomatik olarak yürütme sürecinden geçmeden doğrudan yönlendiriciye web istekleri yapabilir. Bu nedenle, eğer bir saldırı olursa, bir kişi tarafından gerçekleştiriliyor olabilir , belki de bir kimlik doğrulama bypass istismarını kullanmayı umuyor .

Bilgisayarınızda kötü amaçlı yazılım taraması yapmak iyi bir fikir olacaktır. ( MalwareBytes'i seviyorum .) Ayrıca, istenmeyen / gereksiz iletilen bağlantı noktaları olup olmadığını görmek için yönlendiricinizin yapılandırmasını kontrol edin .

Gelecekte, süreç denetimini etkinleştirirseniz olay günlüklerinden yararlı bilgiler alabilirsiniz . Ayrıca RDP bağlantıları için uzak IP adresini belirten 4624 olayı (oturum açma) için Güvenlik olay günlüğüne de bakabilirsiniz.

Modemin yeniden başlatıldığını / internetin kapatıldığını söyleyen OP güçlü bir ipucudur. Evde kullandığım da dahil olmak üzere birçok ISS / kablolu modem satıcısı, modemin bir sorunu olduğunda müşterinin tarayıcıda bir hata görmesi için WISPr protokolünü kullanıyor.

Apple cihazlarda, "otomajik", Windows veya Linux'ta, bir WIPSr mesajının bir web sayfasını açması için Firefox'un arka planda çalışması yeterli olmalıdır.

Firefox'u ISS giriş sayfamı nasıl biliyor? Konusundaki yanıtımı görün daha fazla ayrıntı için.