Как определить, что мой сервер используется как сканер портов? [дубликат]

Мой веб-сервер работает под управлением Ubuntu 12.04.2 LTS со всеми установленными обновлениями безопасности. Он используется в качестве веб-прокси-сервера, который обрабатывает входящие запросы по HTTP / 80 HTTPS / 443, но также получает веб-контент с других серверов, используя соединения HTTP / HTTPS. Сервер также использует соединение HTML5 WebSocket для отправки обновлений в реальном времени пользователям клиентов.

Я получил уведомление от трех отдельных домашних пользователей о том, что мой сервер якобы выполнил сканирование портов на их IP-адресах. К сожалению, я знаю только дату и время предполагаемого сканирования портов, но не знаю IP-адрес или порт назначения. Кроме того, я не уверен, были ли это ложные срабатывания сигнализации или мой сервер действительно был взломан.

До сих пор я провел предварительный анализ с помощью netstat -anltp, чтобы проверить, есть ли подозрительный трафик. При проверке все в порядке, так как есть только HTTP-соединения. Вдобавок я выполнил команду «ps aux», чтобы вывести список всех запущенных процессов, но должен признать, что на этом этапе я немного потерялся.

Какие дальнейшие действия можно выполнить для обнаружения подозрительного трафика? Какие файлы журналов следует проверять? Какие журналы необходимо включить для обнаружения подозрительного исходящего трафика в будущем? Какие сторонние инструменты могут обнаруживать дальнейшее сканирование исходящих портов?