Quelque chose a ouvert la page d'état de mon routeur pendant mon absence

Hier, je suis allé travailler, laissant mon PC ouvert comme d'habitude. Il s'agit d'un Windows 10, récemment mis à jour vers Anniversary. Après mon retour, j'ai déplacé la souris pour sortir du mode veille moniteur (le PC n'était pas en veille) et j'ai trouvé Firefox ouvert, à cette adresse:

http://10.0.0.138/main.html?redirector=1

Non connecté, affichant l'invite du mot de passe du routeur.

Que pourrait-il faire? Le fait qu'il y figure redirectorsuggère qu'il a été déclenché par un logiciel, et non qu'une personne (locale ou distante) a tenté d'ouvrir la page d'état de mon routeur. Je doute également que ce soit un malware, car je ne vois aucune raison pour que le malware le fasse.

J'ai jeté un œil au journal des événements et je n'ai rien trouvé de pertinent.

Le routeur est un Sagemcom F @ st 4315 renommé par le FAI .

ÉDITER

Cela s'est produit à plusieurs reprises lorsque Internet était en panne. Très probablement, certains logiciels tentent d'accéder à Internet, comme quelqu'un l'a mentionné dans les commentaires.

Des idées?

Il n'est pas possible de dire définitivement qu'une certaine chose l'a provoquée, mais nous pouvons spéculer sur pourquoi.

Un programme malveillant aurait pu découvrir l'adresse de votre routeur en regardant la passerelle par défaut actuelle de votre ordinateur (par exemple en analysant la sortie de ipconfig). Étant donné que la plupart des passerelles par défaut des consommateurs sont des routeurs pour petits bureaux / bureaux à domicile, il y a fort à parier qu'il existe une interface Web. Prendre le contrôle d'un routeur serait très bon pour un attaquant car le pirate aurait alors la possibilité de flasher une version modifiée et malveillante de son firmware dessus. Si votre routeur est ainsi compromis, il peut être utilisé par des adversaires distants pour monter toutes sortes d'attaques sur tous les appareils de votre réseau.

Un programme pourrait faire des requêtes Web directement au routeur sans essayer de passer par le processus très fastidieux d'automatisation de l'interface utilisateur d'un navigateur. Par conséquent, il me semble plus probable que s'il y avait une attaque en cours, elle était perpétrée par une personne , espérant peut-être utiliser un exploit de contournement d'authentification .

Ce serait une bonne idée d'exécuter une analyse des logiciels malveillants sur votre ordinateur. (J'aime MalwareBytes .) Vérifiez également la configuration de votre routeur pour voir s'il y a des ports redirigés indésirables / inutiles .

À l'avenir, vous pourrez peut-être obtenir des informations utiles à partir des journaux des événements si vous activez l' audit des processus . Vous pouvez également consulter le journal des événements de sécurité pour l'événement 4624 (ouverture de session), qui pour les connexions RDP spécifie l'adresse IP distante.

L'OP disant que le modem a redémarré / Internet était en panne est un indice fort. De nombreux fournisseurs de FAI / modem câble, y compris celui que j'utilise à la maison, utilisent le protocole WISPr lorsque le modem a un problème, pour que le client puisse voir une erreur dans le navigateur.

Dans les appareils Apple, c'est "automagique", sous Windows ou Linux, il devrait suffire que Firefox s'exécute en arrière-plan pour qu'un message WIPSr ouvre une page web.

Voir ma réponse sur Comment Firefox connaît-il ma page de connexion FAI? pour plus de détails.