Jeśli ktoś korzysta z PiHole to podaję swoje regexp.
Opracowane na podstawie własnych analiz ruchu itp.
Domeny wyłapane w ruchu ISP Debacom Zabrze:
[0-9a-za-z]{13-18}\.tickets
[0-9a-za-z]{13-18}\.blackfriday
v1\.[a-uw-z]{7}\.ru
v[12]{1}\.[a-uw-z]{7}\.ru
[b-y]{12}\.pw
[0-9a-za-z]{13-18}\.feedback
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.hosting
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.cloudfront.net
[0-9]{10}\.rsc.cdn77.org
Kilka domen 3-go rzędu u rejestratorów, którzy nie kontrolują swoich klientów i zezwalają na szybkie dynamiczne rejestrowanie domen:
[0-9a-za-z]{13-18}\.mooo.com [0-9a-za-z]{13-18}\.chikenkiller.com [0-9a-za-z]{13-18}\.us.to [0-9a-za-z]{13-18}\.strangled.net [0-9a-za-z]{13-18}\.ignorelist.com [0-9a-za-z]{13-18}\.uk.to [0-9a-za-z]{13-18}\.crabdance.com [0-9a-za-z]{13-18}\.info.tm [0-9a-za-z]{13-18}\.jumpingcrab.com [0-9a-za-z]{13-18}\.twilightparadox.com [0-9a-za-z]{13-18}\.biz.tm [0-9a-za-z]{13-18}\.continent.kz [0-9a-za-z]{13-18}\.az.ltDomeny, które w większości to malware itp. Dodaje tylko te które mają więcej jak 10 znaków. Powinno to zmniejszyć false positive. [0-9a-za-z]{10-18}\.fail [0-9a-za-z]{10-18}\.viajes [0-9a-za-z]{10-18}\.exposed [0-9a-za-z]{10-18}\.fit [0-9a-za-z]{10-18}\.work [0-9a-za-z]{10-18}\.london [0-9a-za-z]{10-18}\.surf [0-9a-za-z]{10-18}\.date [0-9a-za-z]{10-18}\.asia [0-9a-za-z]{10-18}\.life [0-9a-za-z]{10-18}\.cam