1 aNmEjZK4zTh0E4w7Z0YSNA Jeśli ktoś korzysta z PiHole to podaję swoje regexp.   Opracowane na podstawie własnych analiz ruchu itp. Domeny wyłapane w ruchu ISP Debacom Zabrze: [0-9a-za-z]{13-18}\.tickets [0-9a-za-z]{13-18}\.blackfriday v1\.[a-uw-z]{7}\.ru v[12]{1}\.[a-uw-z]{7}\.ru [b-y]{12}\.pw [0-9a-za-z]{13-18}\.feedback [0-9a-za-z]{13-18}\.org [0-9a-za-z]{13-18}\.hosting [0-9a-za-z]{13-18}\.org [0-9a-za-z]{13-18}\.cloudfront.net [0-9]{10}\.rsc.cdn77.org   Kilka domen 3-go rzędu u rejestratorów, którzy nie kontrolują swoich klientów i zezwalają na szybkie dynamiczne rejestrowanie domen:
[0-9a-za-z]{13-18}\.mooo.com
[0-9a-za-z]{13-18}\.chikenkiller.com
[0-9a-za-z]{13-18}\.us.to
[0-9a-za-z]{13-18}\.strangled.net
[0-9a-za-z]{13-18}\.ignorelist.com
[0-9a-za-z]{13-18}\.uk.to
[0-9a-za-z]{13-18}\.crabdance.com
[0-9a-za-z]{13-18}\.info.tm
[0-9a-za-z]{13-18}\.jumpingcrab.com
[0-9a-za-z]{13-18}\.twilightparadox.com
[0-9a-za-z]{13-18}\.biz.tm
[0-9a-za-z]{13-18}\.continent.kz
[0-9a-za-z]{13-18}\.az.lt
Domeny, które w większości to malware itp. Dodaje tylko te które mają więcej jak 10 znaków. Powinno to zmniejszyć false positive. [0-9a-za-z]{10-18}\.fail [0-9a-za-z]{10-18}\.viajes [0-9a-za-z]{10-18}\.exposed [0-9a-za-z]{10-18}\.fit [0-9a-za-z]{10-18}\.work [0-9a-za-z]{10-18}\.london [0-9a-za-z]{10-18}\.surf [0-9a-za-z]{10-18}\.date [0-9a-za-z]{10-18}\.asia [0-9a-za-z]{10-18}\.life [0-9a-za-z]{10-18}\.cam