Лоханувся просто феєрично.
Колись давно для однієї ДНС-зони я зробив дефолтний піддомен, який зарулював всьо незрозуміле на кореневий домен:
$ORIGIN DOMAIN.TLD. . . . * IN CNAME DOMAIN.TLD.За ідеєю, у випадку помилок набору, юзера кидає на кореневий сайт цілого куща, а там вже можна через навігацію дістатися, куди треба. Мені це здалось доволі зручним та корисним. І так воно й було, до певного моменту. Поки мені не знадобилося переїхать на інший ІР. І, як нескладно здогадатися, на одному з слейвів я забув поміняти ІР мастера, звідки підчитується свіжий стан зони. А інші, чужі сервери, через які форвардяться запити клієнтів, кидають запити випадковим чином на один з NS-ів, прописаний для зони. І от в мене всі NS-и мають свіжу зону з кількома новими піддоменами, а один - має стару зону без цих піддоменів, зате з вайлдкардом, ага.
І от, скажімо, гугльовий резолвер (той, що 8.8.8.8 та 8.8.4.4) працює через анікаст. Там сотні серваків на одному ІР, і кожен з серваків рандомно лізе на на один з моїх NS-ів. І в результаті, як нескладно здогадатися, частина гугльових ящиків отримує вірну відповідь від оновлених мастера та слейвів, а частина - від того, що його через недогляд відлучило від сіськи. І оці нові піддомени - то роблять, то не роблять. То кидає, куди треба, то кидає на хост з кореневим доменом, і хоч ти здохни, нічого не вдається второпати, бо навіть при трейсингу запитів той же файр-баг у файрфоксі видає "301 moved permanently"
Два тижні хардкорного групенсексу з виносом мозку, перш ніж я помітив, що для цих піддоменів список NS-ів відрізняється від інших піддоменів. Ну, а далі вже тривіально, плюс мінімальні TTL-и по 10 хвилин, аби то всьо барахло чимскоріш винести з кешів.