Gestern bin ich zur Arbeit gegangen und habe meinen PC wie gewohnt geöffnet. Es ist ein Windows 10, das kürzlich auf Anniversary aktualisiert wurde. Nachdem ich zurückgekommen war, bewegte ich die Maus, um den Monitor-Sleep-Modus zu verlassen (der PC war nicht im Ruhezustand) und fand Firefox geöffnet unter dieser Adresse:
http://10.0.0.138/main.html?redirector=1
Nicht angemeldet, zeigt die Eingabeaufforderung für das Router-Passwort an.
Was könnte es tun? Die Tatsache, dass es darin enthalten ist redirector, deutet darauf hin, dass es von einer Software ausgelöst wurde und nicht, dass eine Person (entweder lokal oder remote) versucht hat, meine Router-Statusseite zu öffnen. Ich bezweifle auch, dass es sich um Malware handelt, da ich keinen Grund dafür sehe, dass Malware dies tut.
Ich habe mir das Ereignisprotokoll angesehen und konnte nichts Relevantes finden.
Der Router ist ein Sagemcom F @ st 4315 mit ISP- Rebranding .
BEARBEITEN
Es passierte mehrmals, als das Internet ausfiel. Höchstwahrscheinlich eine Software, die versucht, auf das Internet zuzugreifen, wie in den Kommentaren erwähnt.
Irgendwelche Ideen?
quelle
Antworten:
Es ist nicht möglich, definitiv zu sagen, dass eine bestimmte Sache es verursacht hat, aber wir können darüber spekulieren, warum.
Ein Schadprogramm hat möglicherweise die Adresse Ihres Routers anhand des aktuellen Standardgateways Ihres Computers ermittelt (z. B. durch Analysieren der Ausgabe von
ipconfig). Da die Standard-Gateways der meisten Verbraucher Small-Office- / Home-Office-Router sind, ist es eine gute Wette, dass dort eine Weboberfläche vorhanden ist. Die Kontrolle über einen Router zu erlangen, wäre für einen Angreifer sehr gut, da der Hacker dann die Möglichkeit hätte, eine modifizierte, böswillige Version seiner Firmware darauf zu flashen. Wenn Ihr Router auf diese Weise kompromittiert wird, kann er von Remote-Gegnern verwendet werden, um alle Arten von Angriffen auf alle Geräte in Ihrem Netzwerk auszuführen.Ein Programm kann Webanforderungen direkt an den Router senden, ohne den sehr umständlichen Prozess der Automatisierung der Benutzeroberfläche eines Browsers durchlaufen zu müssen. Daher scheint es mir wahrscheinlicher, dass ein Angriff von einer Person verübt wurde , in der Hoffnung, einen Authentifizierungs-Bypass- Exploit zu verwenden.
Es ist eine gute Idee, auf Ihrem Computer einen Scan nach Malware durchzuführen. (Ich mag MalwareBytes .) Überprüfen Sie auch die Konfiguration Ihres Routers, um festzustellen , ob unerwünschte / unnötige weitergeleitete Ports vorhanden sind .
In Zukunft können Sie möglicherweise nützliche Informationen aus den Ereignisprotokollen abrufen, wenn Sie die Prozessüberwachung aktivieren . Sie können auch das Sicherheitsereignisprotokoll nach Ereignis 4624 (Anmeldung) durchsuchen, das für RDP-Verbindungen die Remote-IP-Adresse angibt.
quelle
Das OP, das besagt, dass das Modem neu gestartet wurde / das Internet ausgefallen ist, ist ein starker Hinweis. Viele ISPs / Kabelmodemanbieter, einschließlich des Anbieters, den ich zu Hause verwende, verwenden das WISPr-Protokoll, wenn das Modem ein Problem aufweist, damit der Kunde einen Fehler im Browser sieht.
Auf Apple-Geräten ist es "automagisch", unter Windows oder Linux sollte es ausreichen, Firefox im Hintergrund auszuführen, damit eine WIPSr-Nachricht eine Webseite öffnet.
Siehe meine Antwort unter Woher kennt Firefox meine ISP-Anmeldeseite? für mehr Details.
quelle