Qualcosa ha aperto la pagina di stato del mio router mentre ero via

Ieri sono andato a lavorare, lasciando il mio PC aperto come al solito. È un Windows 10, recentemente aggiornato ad Anniversary. Dopo essere tornato, ho spostato il mouse per uscire dalla modalità monitor-sleep (il PC non era in modalità sleep) e ho trovato Firefox aperto, a questo indirizzo:

http://10.0.0.138/main.html?redirector=1

Non connesso, che mostra la richiesta della password del router.

Cosa potrebbe farlo? Il fatto che abbia redirectorin esso suggerisce che è stato attivato da un software e non che qualche persona (locale o remota) abbia tentato di aprire la pagina di stato del mio router. Dubito anche che si tratti di malware, perché non vedo alcun motivo per farlo.

Ho dato un'occhiata al registro eventi e non sono riuscito a trovare nulla di rilevante.

Il router è un Sagemcom F @ st 4315 con marchio ISP .

MODIFICARE

È successo di nuovo più volte quando Internet era inattivo. Molto probabilmente alcuni software tentano di accedere a Internet, come qualcuno ha menzionato nei commenti.

Qualche idea?

Non è possibile affermare definitivamente che una certa cosa l'ha causata, ma possiamo speculare sul perché.

Un programma dannoso avrebbe potuto scoprire l'indirizzo del tuo router guardando l'attuale gateway predefinito del tuo computer (ad esempio analizzando l'output di ipconfig). Poiché i gateway predefiniti della maggior parte dei consumatori sono router per piccoli uffici / home-office, è una buona scommessa che ci sia un'interfaccia web lì. Ottenere il controllo di un router sarebbe molto utile per un utente malintenzionato perché l'hacker avrebbe quindi la possibilità di eseguire il flashing di una versione modificata e dannosa del suo firmware su di esso. Se il tuo router viene compromesso in questo modo, può essere utilizzato dagli avversari remoti per montare tutti i tipi di attacchi su tutti i dispositivi della tua rete.

Un programma potrebbe effettuare richieste Web direttamente al router senza tentare di eseguire il processo molto complicato di automazione dell'interfaccia utente di un browser. Pertanto, mi sembra più probabile che se ci fosse un attacco in corso, sarebbe stato perpetrato da una persona , forse sperando di usare un exploit di bypass di autenticazione .

Sarebbe una buona idea eseguire una scansione per malware sul tuo computer. (Mi piace MalwareBytes .) Controlla anche la configurazione del tuo router per vedere se ci sono porte inoltrate indesiderate / non necessarie .

In futuro, potresti essere in grado di ottenere informazioni utili dai registri eventi se abiliti il controllo dei processi . È inoltre possibile cercare nel registro eventi di sicurezza l'evento 4624 (accesso), che per le connessioni RDP specifica l'indirizzo IP remoto.

L'OP che dice che il modem è stato riavviato / Internet non funzionante è un indizio forte. Molti fornitori di servizi Internet / modem via cavo, incluso quello che uso a casa, utilizzano il protocollo WISPr quando il modem ha un problema, per consentire al cliente di visualizzare un errore nel browser.

Nei dispositivi Apple, è "automagic", in Windows o Linux, dovrebbe essere sufficiente avere Firefox in esecuzione in background per un messaggio WIPSr per aprire una pagina web.

Vedi la mia risposta in Come fa Firefox a conoscere la mia pagina di accesso all'ISP? per ulteriori dettagli.