
<div dir="ltr"><div>Thanks Matthias,</div><div><br></div><div>There are a few that I did not have in my list so will add them.</div><div><br></div><div>Sadly I have found that more and more they use user agents that look legit. Freepbx, cisco, etc.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 20, 2019 at 1:14 PM Hohl Matthias <<a href="mailto:matthias.hohl@telematica.at">matthias.hohl@telematica.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="DE-AT"><div class="gmail-m_205145691694547629WordSection1"><p class="MsoNormal"><span>Thanks for the info:<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Btw, if anybody need it, here is a list of malicious UA for copy&paste:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">      ua_patterns: []<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - friendly-scanner<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - friendly-request<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - sipvicious<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - ^sipcli.+<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - sip-scan<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - sipsak<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - sundayddr<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - iWar<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - CSipSimple<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - SIVuS<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - Gulp<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - sipv<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - smap<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - VaxIPUserAgent<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - VaxSIPUserAgent<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - siparmyknife<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">      - Test Agent<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><div><div style="border-color:rgb(225,225,225) currentcolor currentcolor;border-style:solid none none;border-width:1pt medium medium;padding:3pt 0cm 0cm"><p class="MsoNormal"><b><span lang="DE">Von:</span></b><span lang="DE"> Spce-user <<a href="mailto:spce-user-bounces@lists.sipwise.com" target="_blank">spce-user-bounces@lists.sipwise.com</a>> <b>Im Auftrag von </b>Alex Lutay<br><b>Gesendet:</b> Mittwoch, 20. März 2019 11:47<br><b>An:</b> <a href="mailto:spce-user@lists.sipwise.com" target="_blank">spce-user@lists.sipwise.com</a><br><b>Betreff:</b> Re: [Spce-user] Upgrade from 5.5.5 to 6.5.3 - Block Useragent Edit<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Hi,<br>On 3/20/19 11:40 AM, Hohl Matthias wrote:<br>> Oh okay thank you. In version 6.5.3 I didn’t found this information in<br>> the handbook <span style="font-family:"Segoe UI Emoji",sans-serif">😊</span><br><br>Correct, it is new documentation and has been backported to mr6.5 LTS<br>already. It will be the part of the next mr6.5 build: mr6.5.4<br><br>> Thanks again. BTW: the xlog entry is also there then if something got<br>> blocked?<br><br>You can check it in kamailio tt2 config yourself ;-)<br><br>> if([% IF kamailio.proxy.block_useragents.mode == "whitelist" %]![% END %]([% FOREACH item IN kamailio.proxy.block_useragents.ua_patterns -%]$x_hdr(User-Agent) =~ "[% item %]"[% IF kamailio.proxy.block_useragents.ua_patterns.last != item %] || [% END %][% END -%]))<br>> {<br>> xlog("L_INFO", "Request rejected, bad UA='$x_hdr(User-Agent)' - [% logreq_init -%]\n");<br><br>-- <br>Alex Lutay<br>_______________________________________________<br>Spce-user mailing list<br><a href="mailto:Spce-user@lists.sipwise.com" target="_blank">Spce-user@lists.sipwise.com</a><br><a href="https://lists.sipwise.com/listinfo/spce-user" target="_blank">https://lists.sipwise.com/listinfo/spce-user</a><u></u><u></u></p></div></div>_______________________________________________<br>

Spce-user mailing list<br>

<a href="mailto:Spce-user@lists.sipwise.com" target="_blank">Spce-user@lists.sipwise.com</a><br>

<a href="https://lists.sipwise.com/listinfo/spce-user" rel="noreferrer" target="_blank">https://lists.sipwise.com/listinfo/spce-user</a><br>

</blockquote></div>