ある日spamメールの送信元IPをチェックしていたところ…
# dig -x 222.253.170.18
;; QUESTION SECTION:
;18.170.253.222.in-addr.arpa. IN PTR
;; ANSWER SECTION:
18.170.253.222.in-addr.arpa. 900 IN PTR localhost.
;; AUTHORITY SECTION:
170.253.222.in-addr.arpa. 900 IN NS hcm-server1.vnn.vn.
170.253.222.in-addr.arpa. 900 IN NS vdc-hn01.vnn.vn.
;; ADDITIONAL SECTION:
vdc-hn01.vnn.vn. 900 IN A 203.162.0.11
hcm-server1.vnn.vn. 900 IN A 203.162.4.1
でした。一見何もないように見えますが
;; ANSWER SECTION:
18.170.253.222.in-addr.arpa. 900 IN PTR localhost.
これがすべてを物語ります。
例えば・例えばの話ですが、もし、あなたのサーバーの hosts.allow が
ALL : 127.0.0.1
ならば許せるのかもしれません。でも
ALL : localhost
だったら、なんか怖いことになってしまうのかもしれません。
その後の調査で 222.253.32.0 ~ 222.253.175.255 の範囲 (36864) のすべてのIPアドレスが localhost へと逆引きされてるようです。その数からいっても手入力とは考えにくいですが…