昨天我去上班了,照常打开电脑。我的电脑是 Windows 10,最近更新到了 Anniversary。回来后,我移动鼠标退出显示器睡眠模式(电脑没有处于睡眠状态),发现 Firefox 打开了,地址如下:
http://10.0.0.138/main.html?redirector=1
未登录,显示路由器密码提示。
什么原因造成的?事实上,它的存在redirector表明它是由软件触发的,而不是某个人(本地或远程)试图打开我的路由器状态页面。我也怀疑它是恶意软件,因为我看不出恶意软件这样做的理由。
我查看了事件日志,没有发现任何相关内容。
该路由器是 ISP 重新命名的萨基姆 F@st 4315。
编辑
互联网断线时,这种情况又发生了几次。很可能是某些软件试图访问互联网,就像有人在评论中提到的那样。
有任何想法吗?
答案1
我们无法明确地说出某件事导致了这一现象,但我们可以推测其原因。
恶意程序可以通过查看计算机当前的默认网关(例如通过解析 的输出ipconfig)来发现路由器的地址。由于大多数消费者的默认网关都是小型办公室/家庭办公室路由器,因此很有可能那里有一个 Web 界面。控制路由器对攻击者来说非常有利,因为黑客可以选择将经过修改的恶意固件版本刷入路由器。如果您的路由器以这种方式受到攻击,远程攻击者可以利用它对您网络上的所有设备发起各种攻击。
A程序可以直接向路由器发出 Web 请求,而无需尝试通过非常繁琐的浏览器 UI 自动化过程。因此,在我看来,如果发生攻击,更有可能的是,它是由人,也许希望使用身份验证绕过开发。
对你的电脑进行恶意软件扫描是一个好主意。(我喜欢恶意软件字节)还要检查路由器的配置,看看是否有任何不需要的/不必要的转发端口。
将来,如果您启用流程审计。您还可以查看安全事件日志中的事件 4624(登录),该事件为 RDP 连接指定了远程 IP 地址。
答案2
楼主说调制解调器重启/互联网断线了,这是一个强有力的线索。许多 ISP/有线调制解调器供应商(包括我在家使用的供应商)在调制解调器出现问题时都使用 WISPr 协议,以便客户在浏览器中看到错误。
在 Apple 设备中,它是“自动化的”,在 Windows 或 Linux 中,只需让 Firefox 在后台运行,以便 WIPSr 消息打开网页即可。
请参阅我的回答Firefox 如何知道我的 ISP 登录页面?更多细节。