Một cái gì đó đã mở trang trạng thái của bộ định tuyến của tôi trong khi tôi đi vắng

Hôm qua tôi đi làm, để máy tính của tôi mở như bình thường. Đó là Windows 10, gần đây được cập nhật thành Anniversary. Sau khi tôi quay lại, tôi di chuyển chuột để thoát khỏi chế độ ngủ màn hình (PC không ngủ) và tôi thấy Firefox mở, tại địa chỉ này:

http://10.0.0.138/main.html?redirector=1

Không đăng nhập, hiển thị lời nhắc mật khẩu bộ định tuyến.

Điều gì có thể làm điều đó? Thực tế là nó có redirectortrong đó cho thấy rằng nó được kích hoạt bởi một phần mềm và không phải ai đó (cả địa phương hoặc từ xa) đã cố mở trang trạng thái bộ định tuyến của tôi. Tôi cũng nghi ngờ rằng đó là phần mềm độc hại, vì tôi không thấy lý do để phần mềm độc hại làm điều đó.

Tôi đã xem Nhật ký sự kiện và không thể tìm thấy bất cứ điều gì có liên quan.

Bộ định tuyến là một Sagemcom được đổi thương hiệu ISP F @ st 4315 .

BIÊN TẬP

Nó đã xảy ra một lần nữa khi internet bị sập. Nhiều khả năng một số phần mềm đang cố gắng truy cập internet, như ai đó đã đề cập trong các bình luận.

Có ý kiến ​​gì không?

Không thể dứt khoát nói rằng một điều gì đó gây ra nó, nhưng chúng ta có thể suy đoán về lý do tại sao.

Một chương trình độc hại có thể đã phát hiện ra địa chỉ của bộ định tuyến của bạn bằng cách xem cổng mặc định hiện tại của máy tính của bạn (ví dụ: bằng cách phân tích cú pháp đầu ra của ipconfig). Vì các cổng mặc định của hầu hết người tiêu dùng là các bộ định tuyến văn phòng nhỏ / văn phòng tại nhà, nên chắc chắn rằng có một giao diện web ở đó. Việc kiểm soát bộ định tuyến sẽ rất tốt cho kẻ tấn công vì tin tặc sau đó sẽ có tùy chọn flash phiên bản phần mềm độc hại đã được sửa đổi trên nó. Nếu bộ định tuyến của bạn bị xâm phạm theo cách đó, nó có thể được sử dụng bởi các đối thủ từ xa để gắn kết tất cả các loại tấn công trên tất cả các thiết bị trên mạng của bạn.

Một chương trình có thể thực hiện các yêu cầu web trực tiếp đến bộ định tuyến mà không cần cố gắng thực hiện quy trình tự động rất khó khăn trong việc tự động hóa giao diện người dùng của trình duyệt. Do đó, dường như nhiều khả năng với tôi rằng nếu có một cuộc tấn công đang diễn ra, nó đã bị một người gây ra , có thể hy vọng sử dụng khai thác bỏ qua xác thực .

Nó sẽ là một ý tưởng tốt để chạy quét phần mềm độc hại trên máy tính của bạn. (Tôi thích MalwareBytes .) Đồng thời kiểm tra cấu hình của bộ định tuyến của bạn để xem liệu có bất kỳ cổng chuyển tiếp không mong muốn / không cần thiết nào không .

Trong tương lai, bạn có thể có được thông tin hữu ích từ nhật ký sự kiện nếu bạn bật quy trình kiểm toán . Bạn cũng có thể xem qua nhật ký sự kiện Bảo mật cho sự kiện 4624 (đăng nhập), để kết nối RDP chỉ định địa chỉ IP từ xa.

OP nói rằng modem được khởi động lại / Internet bị hỏng là một đầu mối mạnh mẽ. Nhiều nhà cung cấp modem / modem cáp, bao gồm cả nhà cung cấp tôi sử dụng tại nhà, đang sử dụng giao thức WISPr khi modem gặp sự cố, để khách hàng thấy lỗi trong trình duyệt.

Trong các thiết bị của Apple, nó là "tự động", trong Windows hoặc Linux, đủ để Firefox chạy ở chế độ nền cho thông báo WIPSr để mở trang web.

Xem anwer của tôi tại Làm thế nào Firefox biết trang đăng nhập ISP của tôi? để biết thêm chi tiết.