내가없는 동안 라우터의 상태 페이지가 열렸습니다.

어제 나는 평소대로 PC를 열어두고 출근했습니다. 최근에 Anniversary로 업데이트 된 Windows 10입니다. 돌아온 후 마우스를 움직여 모니터 절전 모드를 해제하고 (PC가 절전 모드가 아님)이 주소에서 Firefox가 열려있는 것을 발견했습니다.

http://10.0.0.138/main.html?redirector=1

로그인하지 않고 라우터 암호 프롬프트를 표시합니다.

무엇을 할 수 있습니까? 그 사실 redirector은 소프트웨어가 로컬에 있거나 원격 인 사람이 내 라우터 상태 페이지를 열려고 시도한 것이 아니라 소프트웨어에 의해 트리거되었다는 것을 암시합니다. 또한 맬웨어가 그렇게 할 이유가 없기 때문에 맬웨어인지 의심합니다.

이벤트 로그를보고 관련성이 없습니다.

라우터는 ISP 브랜드가 Sagemcom F @ st 4315 입니다.

편집하다

인터넷이 다운되었을 때 다시 여러 번 발생했습니다. 의견에 언급 된 것처럼 일부 소프트웨어는 인터넷에 액세스하려고합니다.

어떤 아이디어?

어떤 일이 그 원인을 확실하게 말할 수는 없지만 그 이유를 추측 할 수 있습니다.

악성 프로그램이 컴퓨터의 현재 기본 게이트웨이를보고 (예 :의 출력 구문 분석) 라우터 주소를 발견했을 수 있습니다 ipconfig. 대부분의 소비자의 기본 게이트웨이는 소규모 사무실 / 가정용 라우터이므로 웹 인터페이스가있는 것이 좋습니다. 해커는 라우터의 수정 된 악성 버전의 펌웨어를 플래시하는 옵션을 가질 수 있기 때문에 라우터를 제어하는 ​​것은 공격자에게 매우 유용합니다. 라우터가 이런 식으로 손상되면 원격 공격자가 네트워크의 모든 장치에 모든 종류의 공격을 가할 수 있습니다.

프로그램은 직접 브라우저의 UI를 자동화하는 매우 서투른 절차를 통해 노력없이 라우터에 웹 요청을 만들 수 있습니다. 따라서 가능성이 나에게 계속 공격이 있다면, 그것이 의해 자행되고 있다는 것 사람이 어쩌면 사용하는 희망, 인증 우회 공격을.

컴퓨터에서 맬웨어 검사를 실행하는 것이 좋습니다. MalwareBytes가 마음에 듭니다 . 또한 라우터의 구성을 확인하여 불필요하거나 불필요하게 전달 된 포트 가 있는지 확인하십시오 .

나중에 프로세스 감사 를 사용하면 이벤트 로그에서 유용한 정보를 얻을 수 있습니다 . 보안 이벤트 로그에서 이벤트 4624 (로그온)를 찾아 볼 수 있습니다. RDP 연결의 경우 원격 IP 주소를 지정합니다.

모뎀이 재부팅되었다고 말하고 인터넷이 다운되었다는 OP는 강력한 단서입니다. 내가 집에서 사용하는 것을 포함하여 많은 ISP / 케이블 모뎀 공급 업체는 모뎀에 문제가있을 때 고객이 브라우저에서 오류를 볼 수 있도록 WISPr 프로토콜을 사용하고 있습니다.

Apple 장치에서는 Windows 또는 Linux에서 "자동"이므로 WIPSr 메시지가 웹 페이지를 열려면 Firefox가 백그라운드에서 실행 중이면 충분합니다.

Firefox 에서 내 ISP 로그인 페이지 를 어떻게 알 수 있습니까? 에서 답변을 참조하십시오. 자세한 사항은.