Jeśli ktoś korzysta z PiHole to podaję swoje regexp.
Opracowane na podstawie własnych analiz ruchu itp.
Domeny wyłapane w ruchu ISP Debacom Zabrze:
[0-9a-za-z]{13-18}\.tickets
[0-9a-za-z]{13-18}\.blackfriday
v1\.[a-uw-z]{7}\.ru
v[12]{1}\.[a-uw-z]{7}\.ru
[b-y]{12}\.pw
[0-9a-za-z]{13-18}\.feedback
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.hosting
[0-9a-za-z]{13-18}\.org
[0-9a-za-z]{13-18}\.cloudfront.net
[0-9]{10}\.rsc.cdn77.org
Kilka domen 3-go rzędu u rejestratorów, którzy nie kontrolują swoich klientów i zezwalają na szybkie dynamiczne rejestrowanie domen:
[0-9a-za-z]{13-18}\.mooo.com
[0-9a-za-z]{13-18}\.chikenkiller.com
[0-9a-za-z]{13-18}\.us.to
[0-9a-za-z]{13-18}\.strangled.net
[0-9a-za-z]{13-18}\.ignorelist.com
[0-9a-za-z]{13-18}\.uk.to
[0-9a-za-z]{13-18}\.crabdance.com
[0-9a-za-z]{13-18}\.info.tm
[0-9a-za-z]{13-18}\.jumpingcrab.com
[0-9a-za-z]{13-18}\.twilightparadox.com
[0-9a-za-z]{13-18}\.biz.tm
[0-9a-za-z]{13-18}\.continent.kz
[0-9a-za-z]{13-18}\.az.lt
Domeny, które w większości to malware itp. Dodaje tylko te które mają więcej jak 10 znaków. Powinno to zmniejszyć false positive.
[0-9a-za-z]{10-18}\.fail
[0-9a-za-z]{10-18}\.viajes
[0-9a-za-z]{10-18}\.exposed
[0-9a-za-z]{10-18}\.fit
[0-9a-za-z]{10-18}\.work
[0-9a-za-z]{10-18}\.london
[0-9a-za-z]{10-18}\.surf
[0-9a-za-z]{10-18}\.date
[0-9a-za-z]{10-18}\.asia
[0-9a-za-z]{10-18}\.life
[0-9a-za-z]{10-18}\.cam
- Strona główna
- Serwisy SEC
- Pihole – regexp
Powiązane
Jakie zagrożenia wiążą się z korzystaniem z urządzeń IoT?
16 godzin temu
Zmiany w składzie MON
1 dzień temu
Polecane
Region: Wybuchowe znalezisko w piwnicy
1 tydzień temu
Na terenie szkoły w Leźnie znaleziono niewybuch
2 tygodni temu
ABW: Zatrzymano członków siatki terrorystycznej
2 tygodni temu
Atak terrorystyczny w Ankarze. Słychać wybuchy i strzały
4 tygodni temu