Algo abrió la página de estado de mi enrutador mientras estaba fuera

9

Ayer fui a trabajar, dejando mi PC abierta como siempre. Es un Windows 10, actualizado recientemente a Anniversary. Cuando regresé, moví el mouse para salir del modo de suspensión del monitor (la PC no estaba en suspensión) y encontré Firefox abierto, en esta dirección:

http://10.0.0.138/main.html?redirector=1

No ha iniciado sesión, mostrando la solicitud de contraseña del enrutador.

Que podria hacer El hecho de que contenga redirectorsugiere que fue activado por un software y no que alguna persona (local o remota) intentó abrir la página de estado de mi enrutador. También dudo que sea malware, porque no veo una razón para que el malware lo haga.

Eché un vistazo al Registro de eventos y no pude encontrar nada relevante.

El enrutador es un Sagemcom F @ st 4315 renombrado por el ISP .

EDITAR

Sucedió de nuevo varias veces cuando Internet estaba caído. Lo más probable es que algún software intente acceder a Internet, como alguien mencionó en los comentarios.

¿Algunas ideas?

Gimelist
fuente
1
Si su Internet se cae, los enrutadores normalmente lo redirigen a su página para resolver el problema. Intenta ir a un sitio web, desconectar la línea telefónica o el cable y refrescarte.
mt025
@ mt025 El navegador no estaba abierto para empezar. Algo lo abrió. Además, vivo en un lugar donde Internet se cae una vez por semana, y esto nunca sucedió. Pero aún hice esa prueba que sugirió, solo recibo los errores habituales. Nada intenta abrir la página de mi enrutador.
Gimelist
@Michael Cuando instaló el enrutador, ¿instaló algún software que lo acompañara?
Ouroborus
@Ouroborus no, está conectado a la PC a través de LAN. Editó la publicación para agregar información del enrutador.
Gimelist
Esto puede sonar obvio, pero ¿nadie más podría haber tenido acceso a su computadora? ¿Físico o mediante escritorio remoto?
Bertware

Respuestas:

3

No es posible decir definitivamente que algo lo causó, pero podemos especular sobre por qué.

Un programa malicioso podría haber descubierto la dirección de su enrutador mirando la puerta de enlace predeterminada actual de su computadora (por ejemplo, analizando la salida de ipconfig). Dado que la mayoría de las puertas de enlace predeterminadas de los consumidores son enrutadores de oficina pequeña / oficina en casa, es una buena apuesta que haya una interfaz web allí. Obtener el control de un enrutador sería muy bueno para un atacante porque el hacker tendría la opción de actualizar una versión modificada y maliciosa de su firmware. Si su enrutador se ve comprometido de esa manera, puede ser utilizado por adversarios remotos para montar todo tipo de ataques en todos los dispositivos de su red.

Un programa podría hacer solicitudes web al enrutador directamente sin intentar pasar por el proceso muy complicado de automatizar la interfaz de usuario de un navegador. Por lo tanto, me parece más probable que si hubiera un ataque en curso, lo estuviera perpetrando una persona , tal vez con la esperanza de usar un exploit de omisión de autenticación .

Sería una buena idea ejecutar un escaneo en busca de malware en su computadora. (Me gusta MalwareBytes ). Compruebe también la configuración de su enrutador para ver si hay puertos reenviados innecesarios / innecesarios .

En el futuro, es posible que pueda obtener información útil de los registros de eventos si habilita la auditoría de procesos . También puede consultar el registro de eventos de seguridad para el evento 4624 (inicio de sesión), que para las conexiones RDP especifica la dirección IP remota.

Ben N
fuente
¿Existe alguna herramienta específica que recomiende para escanear malware?
Gimelist
Por cierto, su enlace para procesar la auditoría al final conduce al lugar equivocado
Gimelist
@ Michael He usado MalwareBytes con éxito en el pasado. Perdón por el enlace, ya está arreglado.
Ben N
No es malicioso ...
Rui F Ribeiro
1

El OP que dice que el módem se reinició / que Internet estaba caído es una buena pista. Muchos proveedores de ISP / módems de cable, incluido el que uso en casa, están utilizando el protocolo WISPr cuando el módem tiene un problema, para que el cliente vea un error en el navegador.

En los dispositivos Apple, es "automático", en Windows o Linux, debería ser suficiente tener Firefox ejecutándose en segundo plano para que un mensaje WIPSr abra una página web.

Vea mi respuesta en ¿Cómo conoce Firefox mi página de inicio de sesión de ISP? para más detalles.

Rui F Ribeiro
fuente
Me doy cuenta de que la pregunta es antigua , pero mis 5 centavos.
Rui F Ribeiro