Щось відкрило сторінку статусу мого маршрутизатора, поки я не був

Вчора я пішов на роботу, залишивши свій ПК відкритим, як завжди. Це Windows 10, нещодавно оновлена ​​до ювілею. Після повернення я перемістив мишку, щоб вийти з режиму сну монітора (ПК не був уві сні), і я знайшов Firefox відкритим, за цією адресою:

http://10.0.0.138/main.html?redirector=1

Не ввійшов у систему, показуючи запит на пароль маршрутизатора.

Що це могло зробити? Той факт, що він має redirectorв ньому, говорить про те, що його викликало програмне забезпечення, а не те, що хтось (або місцевий, або віддалений) намагався відкрити мою сторінку стану маршрутизатора. Я також сумніваюся, що це зловмисне програмне забезпечення, оскільки я не бачу причин для цього шкідливого програмного забезпечення.

Я переглянув Журнал подій і не зміг знайти нічого релевантного.

Маршрутизатор - це Sagemcom F @ st 4315, ребрендований ISP .

EDIT

Це повторилося знову кілька разів, коли Інтернет був вимкнений. Швидше за все, якесь програмне забезпечення намагається отримати доступ до Інтернету, як хтось згадував у коментарях.

Будь-які ідеї?

Не можна остаточно сказати, що певна річ спричинила це, але ми можемо міркувати, чому.

Зловмисна програма могла виявити адресу вашого маршрутизатора, переглянувши поточний шлюз вашого комп'ютера (наприклад, проаналізувавши вихідний сигнал ipconfig). Оскільки шлюзи більшості споживачів за замовчуванням - це маршрутизатори для невеликих офісів / домашніх офісів, то хороша справа, що там є веб-інтерфейс. Отримати контроль над роутером було б дуже добре для зловмисника, оскільки хакер тоді мав би змогу перенести на нього модифіковану, зловмисну ​​версію своєї прошивки. Якщо ваш маршрутизатор таким чином скомпрометований, його можуть використовувати віддалені супротивники для монтажу різного роду атак на всі пристрої вашої мережі.

Програма може зробити веб - запити до маршрутизатора безпосередньо , не намагаючись пройти через дуже незручний процес автоматизації призначеного для користувача інтерфейсу браузера. Тому мені здається більш імовірним, що якщо траплялася атака, вона вчинялася людиною , можливо, сподіваючись використати байпас аутентифікації .

Було б непогано запустити сканування шкідливих програм на комп’ютері. (Мені подобається MalwareBytes .) Також перевірте конфігурацію маршрутизатора, щоб побачити, чи є небажані / непотрібні перенаправлені порти .

Надалі ви можете отримати корисну інформацію з журналів подій, якщо ввімкнути аудит процесів . Можна також переглянути журнал подій безпеки для події 4624 (вхід), який для RDP-з'єднань визначає віддалену IP-адресу.

ОП заявив, що модем перезавантажився / Інтернет вийшов з ладу, є важливою підказкою. Багато постачальників провайдерів / кабельних модемів, у тому числі той, який я використовую вдома, використовують протокол WISPr, коли у модема є проблеми, щоб клієнт побачив помилку в браузері.

У пристроях Apple це "автоматично", в Windows або Linux, для відкриття веб-сторінки, Firefox повинен працювати в фоновому режимі для повідомлення WIPSr.

Дивіться мою відповідь на сторінці Як Firefox знає мою сторінку входу в Інтернет-провайдера? для отримання детальної інформації.