Как определить, что мой сервер используется как сканер портов?

Мой веб-сервер работает под управлением Ubuntu 12.04.2 LTS со всеми установленными обновлениями безопасности. Он используется в качестве веб-прокси-сервера, который обрабатывает входящие запросы по протоколу HTTP/80 HTTPS/443, но также извлекает веб-контент с других серверов, используя соединения HTTP/HTTPS. Сервер также использует соединение WebSocket HTML5 для отправки обновлений в режиме реального времени пользователям клиента.

Я получил уведомление от трех отдельных домашних пользователей о том, что мой сервер якобы выполнил сканирование портов по их ip-адресам. К сожалению, я знаю только дату и время предполагаемого сканирования портов, но не знаю IP-адрес или порт назначения. Кроме того, я не уверен, являются ли это ложными тревогами, или мой сервер был фактически взломан.

До сих пор я проводил предварительный анализ с использованием "netstat -anltp", чтобы проверить, есть ли подозрительный трафик. При проверке все вроде нормально, так как есть только HTTP-соединения. Кроме того, я выполнил "ps aux", чтобы вывести список всех запущенных процессов, но я должен признать, что в этот момент я немного растерялся.

Какие дальнейшие шаги можно выполнить для обнаружения подозрительного трафика? Какие файлы журнала должны быть проверены? Какие журналы должны быть включены для обнаружения будущего подозрительного исходящего трафика? Какие сторонние инструменты могут обнаружить дальнейшие исходящие сканирования портов?