Problema con conexiones "ilícitas"

Imagen de actano
0 puntos

Hola a todos,
Tengo un servidor con Ubuntu 10.04. En él hay instalado un apache y un tomcat. Básicamente se utiliza para ofrecer acceso a unas páginas webs.
El problema es el siguiente: quienes administran la red me han enviado un correo avisándome de que el servidor ha realizado intentos de conexión a IPs externas con un comportamiento no normal. El extracto que me envían es algo así:

Listado extendido de flujos ->
Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Tos
Packets Bytes pps bps Bpp Flows
2012-04-05 03:08:46.936 0.000 TCP MiIP:54575 -> 31.97.23.105:8080 ....S.
0 100 6000 0 0 60 1
2012-04-05 03:08:49.401 0.000 TCP MiIP:55395 -> 31.97.23.223:8080 ....S.
0 100 6000 0 0 60 1
2012-04-05 03:08:50.926 0.000 TCP MiIP:38312 -> 77.103.227.51:8080
...
...

Al parecer no sucede permanentemente. De hecho, he intentado descubrir si alguno de los procesos que está corriendo tiene relación con esto, y no he encontrado nada. He utilizado (netstat, lsof -i ...) y no logro encontrar.

Hay algún "log" del sistema con el que pueda relacionar la actividad que figura en el informe y los procesos que estuvieran activos en ese momento?

Alguna idea, recomendación?
Muchas gracias,
saludos.