留守中にルーターのステータスページが開いた


9

昨日、いつものようにPCを開いたまま出勤しました。これはWindows 10で、最近Anniversaryにアップデートされました。戻ってきた後、マウスを動かしてモニタースリープモードから抜け出し(PCはスリープ状態ではありませんでした)、Firefoxが開いていることを次のアドレスで確認しました。

http://10.0.0.138/main.html?redirector=1

ログインしていません。ルーターのパスワードプロンプトが表示されています。

何ができるでしょうか?それがその中にあるという事実は、それがredirectorソフトウェアによって引き起こされたことを示唆しており、誰か(ローカルまたはリモートのいずれか)が私のルーターステータスページを開こうとしたことではありません。マルウェアがそれを行う理由がわからないので、それがマルウェアであることも疑っています。

イベントログを確認したところ、関連するものは見つかりませんでした。

ルーターは、ISPに名称変更されたSagemcom F @ st 4315です。

編集

これは、インターネットがダウンしているときに何度か発生しました。誰かがコメントで述べたように、おそらくインターネットにアクセスしようとするいくつかのソフトウェア。

何か案は?


1
インターネットがダウンした場合、ルーターは通常、問題を解決するためにページにリダイレクトします。Webサイトにアクセスして、電話回線またはケーブルを切断して更新します。
mt025

@ mt025ブラウザーは最初は開いていませんでした。何かがそれを開いた。また、私はインターネットが週に1度は停止する場所に住んでいますが、これは決して起こりませんでした。しかし、私はまだあなたが提案したそのテストをしました、私はいつものエラーを受け取ります。何も私のルーターのページを開こうとしません。
ギメリスト

@Michaelルーターをインストールしたときに、付属のソフトウェアをインストールしましたか?
Ouroborus

@Ouroborusいいえ、LAN経由でPCに接続されています。投稿を編集してルーター情報を追加しました。
ギメリスト

これは当たり前のように聞こえるかもしれませんが、他の誰もあなたのコンピュータにアクセスできませんでしたか?物理的なものか、リモートデスクトップ経由か。
Bertware

回答:


3

何かが原因だと断定することはできませんが、その理由は推測できます。

悪意のあるプログラムが、コンピュータの現在のデフォルトゲートウェイを調べて(たとえば、の出力を解析してipconfig)、ルータのアドレスを発見した可能性があります。ほとんどのコンシューマーのデフォルトゲートウェイは小規模オフィス/ホームオフィスルーターであるため、そこにWebインターフェイスがあることは十分なことです。ルーターの制御を取得することは、攻撃者にとって非常に良いことです。ハッカーは、変更された悪意のあるバージョンのファームウェアをルーターにフラッシュするオプションを持っているからです。このようにルーターが危険にさらされると、リモートの攻撃者がルーターを使用して、ネットワーク上のすべてのデバイスにあらゆる種類の攻撃を仕掛けることができます。

このプログラムは、ブラウザのUIを自動化する非常に手間のかかるプロセスを経るしようとせずに直接ルータにWebリクエストを作ることができます。したがって、攻撃が行われている場合、それはによって実行されていた可能性が高く、おそらく認証バイパスエクスプロイトを使用したいと考えています。

コンピューターでマルウェアのスキャンを実行することをお勧めします。(私はMalwareBytesが好きです。)また、ルーターの構成をチェックして、転送された不要なポートや不要なポートがないかどうかを確認してください。

今後、プロセス監査を有効にすると、イベントログから有用な情報を取得できるようになる可能性があります。セキュリティイベントログでイベント4624(ログオン)を確認することもできます。これは、RDP接続ではリモートIPアドレスを指定します。


マルウェアのスキャンに推奨する特定のツールはありますか?
ギメリスト

ところで、最終的にプロセス監査へのリンクは間違った場所につながります
ギメリスト

@Michael過去に成功したMalwareBytesを使用しました。リンクについては申し訳ありませんが、現在修正されています。
Ben N

悪意のあるものではありません...
Rui F Ribeiro

1

モデムが再起動した/インターネットがダウンしたと言っているOPは強力な手がかりです。私が自宅で使用しているものを含め、多くのISP /ケーブルモデムベンダーは、モデムに問題がある場合にWISPrプロトコルを使用しており、顧客はブラウザにエラーを表示しています。

Appleデバイスでは「オートマジック」であり、WindowsまたはLinuxでは、WIPSrメッセージがWebページを開くには、Firefoxをバックグラウンドで実行するだけで十分です。

FirefoxどのようにしてISPのログインページを認識するのですか?詳細については。


質問が古いことに気づきましたが、5セントです。
Rui F Ribeiro
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.