Элементарно, Ватсон.
Эта запись осталась в кэше и он её достал.
Если бы её там не было - он бы её оттуда не достал, и не показал бы, поскольку ни один из IP-шников принадлежащих серверами Живого Журнала непосредственно в tarlith.livejournal.com не резолвится.
Попробуйте найти в логаж Аутпоста IP-адрес и попробуйте извлечь откуда-нибудь из интернета информацию о том, что это именно tarlith.livejournal.com - у Вас этого не получится до тех пор, пока Вы не сунетесь на этот адрес. Патамушта - тот самый виртуальный хостинг про который Вы написали :)
Там этих адресов журналов на каждом IP - десятки, если не сотни тысяч.

Дело в том, что самая последня DNS запись в кеше до 19,22 была на мой собственный журнал. И тогда бы я увидел как атакую сам себя :)

а кто Вам сказал, что последняя используемая запись в кэше соответствует последнему по времени обращению к страничке в броузере?

аутпост ведет собственный кеш, и из него же достает записи. Тогда я снова повторяю вопрос, почему "умныы" аутпост взял не верхнюю запись а начал спускаться вниз по списку ?

Тогда я снова повторяю вопрос, почему "умныы" аутпост взял не верхнюю запись а начал спускаться вниз по списку ?
Неточность в логике работы. Например у Вас системе был какой-то недозакрытый коннект c ЖЖшным IP, который отрезолвился в момент открытия как соответствующий tarlith.livejournal.com.
А на самом деле он относился к stat.livejournal.com, www.livejournal.com или ещё к чему-то.
Вы вместо того, чтобы повторять свои вопросы - попробовали придумать, каким образом система может узнать о соответствии именно tarlith.livejournal.com и конкретного IP, в ситуации, когда на этот IP навешено множество журналов.
Идеи есть?
Может там домен на поверхности IP-пакета пишется красным фломастером?

я понял, что Вы этого не поняли
в кэше может хранится НЕСКОЛЬКО записей, соответствующих одному IP но разным доменам
при этом очищается он далеко не всегда очевидным способом

Объясняю еще раз, фаер берет записи из собственного кеша, нижняя запись в котором датируется 12.09

ч то вам ping -a 204.9.177.18 говорит?

C:\>ping -a 204.9.177.18

Обмен пакетами с livejournal.com [204.9.177.18] по 32 байт:

и ничего другого он сказать не может

Так откуда взялся адрес tarlith? :)
JavaScript на ЖЖ-ном сервере отработал и прислал?

там php или что-то в этом роде ждя создания своих стилей.
но я подозреваю что он там сльно кастрирован.

Пардон, я не посмотрел, кто мне отвечал
не в кассу высказался ;-)

меня вот тоже смущает что outpost показал именно такой hostname =)

а меньше надо его журнал читать - так его адрес будет реже в кэше задерживаться, вот что :)

Там не пхп, там самописная "template engine"
Движок для генерации хтмл, то бишь...

тот же самый вопрос =)
как в tcp пакете с проставленными ack и rst может содержаться имя хоста?

Я вообще-то в курсе, как работает Аутпост.
Вам "ещё раз объяснить" значение фразы "очищается он далеко не всегда очевидным способом"?

не сунетесь на tarlith.livejournal.com в броузере