Kemarin saya pergi bekerja, membiarkan PC saya terbuka seperti biasa. Ini adalah Windows 10, baru-baru ini diperbarui untuk Peringatan. Setelah saya kembali, saya memindahkan mouse untuk keluar dari mode monitor-sleep (PC tidak tidur) dan saya menemukan Firefox terbuka, di alamat ini:
http://10.0.0.138/main.html?redirector=1
Tidak masuk, menampilkan prompt kata sandi router.
Apa yang bisa melakukannya? Fakta bahwa itu ada redirectordi dalamnya menunjukkan bahwa itu dipicu oleh perangkat lunak, dan bukan bahwa beberapa orang (baik lokal atau jarak jauh) mencoba membuka halaman status router saya. Saya juga ragu itu malware, karena saya tidak melihat alasan malware melakukan itu.
Saya telah melihat Event Log dan tidak dapat menemukan yang relevan.
Perute ini adalah Sagemcom F @ st 4315 yang berganti nama ISP .
EDIT
Itu terjadi lagi beberapa kali ketika internet sedang down. Kemungkinan besar beberapa perangkat lunak mencoba mengakses internet, seperti seseorang yang disebutkan dalam komentar.
Ada ide?
sumber
Jawaban:
Tidak mungkin mengatakan secara pasti bahwa suatu hal menyebabkannya, tetapi kita dapat berspekulasi tentang mengapa.
Program jahat dapat menemukan alamat router Anda dengan melihat gateway default komputer Anda saat ini (mis. Dengan mem-parsing output dari
ipconfig). Karena gateway default sebagian besar konsumen adalah router kantor-kecil / rumahan, itu adalah taruhan yang baik bahwa ada antarmuka web di sana. Mengontrol perute akan sangat baik bagi penyerang karena peretas kemudian memiliki opsi untuk menginstal versi firmware yang dimodifikasi dan berbahaya ke dalamnya. Jika router Anda dikompromikan dengan cara itu, router dapat digunakan oleh musuh jarak jauh untuk memasang semua jenis serangan pada semua perangkat di jaringan Anda.Suatu program dapat membuat permintaan web ke router secara langsung tanpa mencoba melalui proses yang sangat cerdik mengotomatiskan browser UI. Oleh karena itu, tampaknya lebih mungkin bagi saya bahwa jika ada serangan yang sedang terjadi, itu sedang dilakukan oleh seseorang , mungkin berharap untuk menggunakan eksploitasi bypass otentikasi .
Sebaiknya jalankan pemindaian malware di komputer Anda. (Saya suka MalwareBytes .) Juga periksa konfigurasi router Anda untuk melihat apakah ada port forwarding yang tidak diinginkan / tidak perlu .
Di masa mendatang, Anda mungkin bisa mendapatkan informasi yang berguna dari log peristiwa jika Anda mengaktifkan proses audit . Anda juga dapat melihat melalui log peristiwa Keamanan untuk peristiwa 4624 (masuk), yang untuk koneksi RDP menentukan alamat IP jarak jauh.
sumber
OP mengatakan modem reboot / Internet sedang turun adalah petunjuk yang kuat. Banyak ISP / vendor modem kabel, termasuk yang saya gunakan di rumah, menggunakan protokol WISPr ketika modem memiliki masalah, bagi pelanggan untuk melihat kesalahan di browser.
Di perangkat Apple, ini "automagic", di Windows atau Linux, seharusnya cukup agar Firefox berjalan di latar belakang untuk pesan WIPSr untuk membuka halaman web.
Lihat jawaban saya di Bagaimana cara Firefox mengetahui halaman login ISP saya? untuk lebih jelasnya.
sumber