Algo abriu a página de status do meu roteador enquanto eu estava fora

9

Ontem eu fui trabalhar, deixando meu PC aberto como sempre. É um Windows 10, recentemente atualizado para o aniversário. Depois que voltei, movi o mouse para sair do modo de monitor sleep (o PC não estava no modo sleep) e achei o Firefox aberto, neste endereço:

http://10.0.0.138/main.html?redirector=1

Não está logado, mostrando o prompt da senha do roteador.

O que poderia fazer isso? O fato de ter redirector sugere que foi acionado por um software e não que alguma pessoa (local ou remota) tentou abrir a página de status do roteador. Também duvido que seja malware, porque não vejo motivo para malware fazer isso.

Eu dei uma olhada no log de eventos e não consegui encontrar nada relevante.

O roteador é um Sagemcom F @ st 4315 . / p>

EDITAR

Aconteceu de novo várias vezes quando a internet caiu. Muito provavelmente algum software tentando acessar a internet, como alguém mencionou nos comentários.

Alguma idéia?

    
por Gimelist 10.08.2016 / 23:36

1 resposta

3

Não é possível afirmar definitivamente que uma determinada coisa causou isso, mas podemos especular sobre o motivo.

Um programa mal-intencionado poderia ter descoberto o endereço do seu roteador observando o gateway padrão atual do seu computador (por exemplo, analisando a saída de ipconfig ). Como a maioria dos gateways padrão dos consumidores são roteadores para pequenas empresas / escritórios domésticos, é bem provável que exista uma interface web lá. Obter o controle de um roteador seria muito bom para um invasor, porque o hacker teria então a opção de exibir uma versão modificada e mal-intencionada de seu firmware nele. Se o seu roteador for comprometido dessa maneira, ele poderá ser usado por adversários remotos para montar todos os tipos de ataques em todos os dispositivos da sua rede.

Um programa pode fazer solicitações da Web para o roteador diretamente, sem tentar passar pelo complicado processo de automatizar a interface do usuário do navegador. Portanto, parece-me mais provável que, se houve um ataque, estava sendo perpetrado por uma pessoa , talvez esperando usar um autenticação de bypass de autenticação .

Seria uma boa ideia executar uma verificação de malware no seu computador. (Eu gosto de MalwareBytes .) Verifique também a configuração do seu roteador para ver se há algum indesejado / desnecessário portas encaminhadas .

No futuro, você poderá obter informações úteis nos registros de eventos se ativar a auditoria de processos . Você também pode examinar o log de eventos de segurança para o evento 4624 (logon), que para conexões RDP especifica o endereço IP remoto.

    
por 11.08.2016 / 03:19