Algo abrió la página de estado de mi enrutador mientras estaba fuera

Ayer fui a trabajar, dejando mi PC abierta como siempre. Es un Windows 10, actualizado recientemente a Anniversary. Cuando regresé, moví el mouse para salir del modo de suspensión del monitor (la PC no estaba en suspensión) y encontré Firefox abierto, en esta dirección:

http://10.0.0.138/main.html?redirector=1

No ha iniciado sesión, mostrando la solicitud de contraseña del enrutador.

Que podria hacer El hecho de que contenga redirectorsugiere que fue activado por un software y no que alguna persona (local o remota) intentó abrir la página de estado de mi enrutador. También dudo que sea malware, porque no veo una razón para que el malware lo haga.

Eché un vistazo al Registro de eventos y no pude encontrar nada relevante.

El enrutador es un Sagemcom F @ st 4315 renombrado por el ISP .

EDITAR

Sucedió de nuevo varias veces cuando Internet estaba caído. Lo más probable es que algún software intente acceder a Internet, como alguien mencionó en los comentarios.

¿Algunas ideas?

No es posible decir definitivamente que algo lo causó, pero podemos especular sobre por qué.

Un programa malicioso podría haber descubierto la dirección de su enrutador mirando la puerta de enlace predeterminada actual de su computadora (por ejemplo, analizando la salida de ipconfig). Dado que la mayoría de las puertas de enlace predeterminadas de los consumidores son enrutadores de oficina pequeña / oficina en casa, es una buena apuesta que haya una interfaz web allí. Obtener el control de un enrutador sería muy bueno para un atacante porque el hacker tendría la opción de actualizar una versión modificada y maliciosa de su firmware. Si su enrutador se ve comprometido de esa manera, puede ser utilizado por adversarios remotos para montar todo tipo de ataques en todos los dispositivos de su red.

Un programa podría hacer solicitudes web al enrutador directamente sin intentar pasar por el proceso muy complicado de automatizar la interfaz de usuario de un navegador. Por lo tanto, me parece más probable que si hubiera un ataque en curso, lo estuviera perpetrando una persona , tal vez con la esperanza de usar un exploit de omisión de autenticación .

Sería una buena idea ejecutar un escaneo en busca de malware en su computadora. (Me gusta MalwareBytes ). Compruebe también la configuración de su enrutador para ver si hay puertos reenviados innecesarios / innecesarios .

En el futuro, es posible que pueda obtener información útil de los registros de eventos si habilita la auditoría de procesos . También puede consultar el registro de eventos de seguridad para el evento 4624 (inicio de sesión), que para las conexiones RDP especifica la dirección IP remota.

El OP que dice que el módem se reinició / que Internet estaba caído es una buena pista. Muchos proveedores de ISP / módems de cable, incluido el que uso en casa, están utilizando el protocolo WISPr cuando el módem tiene un problema, para que el cliente vea un error en el navegador.

En los dispositivos Apple, es "automático", en Windows o Linux, debería ser suficiente tener Firefox ejecutándose en segundo plano para que un mensaje WIPSr abra una página web.

Vea mi respuesta en ¿Cómo conoce Firefox mi página de inicio de sesión de ISP? para más detalles.