Algo abriu a página de status do meu roteador enquanto eu estava ausente

Ontem fui trabalhar, deixando meu PC aberto como sempre. É um Windows 10, atualizado recentemente para o Anniversary. Depois que voltei, movi o mouse para sair do modo de suspensão do monitor (o PC não estava no modo de suspensão) e encontrei o Firefox aberto, neste endereço:

http://10.0.0.138/main.html?redirector=1

Não está logado, mostrando o prompt da senha do roteador.

O que poderia fazer isso? O fato de ele ter redirectorsugerido que foi acionado por um software, e não que alguém (local ou remoto) tentou abrir a página de status do roteador. Também duvido que seja malware, porque não vejo uma razão para o malware fazer isso.

Dei uma olhada no Log de eventos e não encontrei nada relevante.

O roteador é um Sagemcom F @ st 4315 com a marca ISP .

EDITAR

Aconteceu novamente várias vezes quando a internet estava inoperante. Provavelmente, algum software está tentando acessar a internet, como alguém mencionado nos comentários.

Alguma ideia?

Não é possível dizer definitivamente que uma determinada coisa a causou, mas podemos especular sobre o porquê.

Um programa malicioso pode ter descoberto o endereço do seu roteador olhando o gateway padrão atual do seu computador (por exemplo, analisando a saída de ipconfig). Como os gateways padrão da maioria dos consumidores são roteadores de pequenos escritórios / escritórios domésticos, é uma boa aposta que exista uma interface da Web lá. Obter o controle de um roteador seria muito bom para um invasor, porque o hacker teria a opção de exibir uma versão maliciosa modificada de seu firmware nele. Se o seu roteador ficar comprometido dessa maneira, ele poderá ser usado por adversários remotos para montar todos os tipos de ataques em todos os dispositivos da sua rede.

Um programa pode fazer solicitações da Web diretamente ao roteador sem tentar passar pelo processo muito complicado de automatizar a interface do usuário do navegador. Portanto, parece-me mais provável que, se houvesse um ataque, ele estivesse sendo cometido por uma pessoa , talvez esperando usar uma exploração de desvio de autenticação .

Seria uma boa idéia executar uma verificação de malware no seu computador. (Gosto do MalwareBytes .) Verifique também a configuração do seu roteador para ver se há portas encaminhadas indesejadas / desnecessárias .

No futuro, você poderá obter informações úteis dos logs de eventos se ativar a auditoria de processos . Você também pode procurar no log de eventos de segurança o evento 4624 (logon), que para conexões RDP especifica o endereço IP remoto.

O OP dizendo que o modem foi reiniciado / a Internet estava inoperante é uma pista forte. Muitos ISPs / fornecedores de modem a cabo, incluindo o que eu uso em casa, estão usando o protocolo WISPr quando o modem tem um problema, para que o cliente veja um erro no navegador.

Nos dispositivos Apple, é "automagic"; no Windows ou Linux, basta o Firefox ser executado em segundo plano para que uma mensagem WIPSr abra uma página da Web.

Veja minha resposta em Como o Firefox conhece minha página de login do ISP? para mais detalhes.