1) Am I reading this right?
Toda a conexão que você nos mostra já está fechada.
Se você usou um webbrowser (e visitou uma página com o ícone de link do Twitter), isso parece perfeitamente normal.
Isso não quer dizer que você não poderia estar infectado de alguma forma, mas TIME_WAIT é um estado em que já tivemos um link, mas já está fechado e em processo de limpeza.
Fechar uma conexão TCP é semelhante a isso (simplificado):
2) How do determine the processes that are doing this
No momento, esses processos já desapareceram. Tente monitorar para encontrar um que esteja ESTABELECIDO e, em seguida, tente descobrir qual aplicativo está usando essa conexão. Tenho a sensação de que este será seu navegador.
3) How do I safeguard myself. Are there any good linux antivirus solutions
Soluções padrão: não execute como root. Use o bom senso ao clicar em itens, mantenha seu sistema operacional e aplicativos atualizados
What's happening? I can understand twitter spamming, but what about google? Are they clicking on google links for SEO?
No Windows, notei o mesmo quando o firefox estava adicionando sugestões às minhas pesquisas. Muitos links ativos para o google. Não apenas a página da web. E se eu visitar uma página da web com um link para o facebook ou twitter que também pode abrir uma conexão ao seu site. (Mesmo que seja inocente se apenas fizer o download do logo do twitter no site twitters).
Quanto à cloudfare: eles são uma rede de entrega de conteúdo (CND). Quase tudo pode desencadear aqueles, incluindo o google e o twitter.
5) How do I get rid of them pronto?
Reinicie.
Efetue login (não gráfico) e verifique se não há conexões.
Em seguida, inicie seu ambiente gráfico (e possíveis aplicativos de inicialização automática). Verifique novamente. Acenda seus programas favoritos, um por um. Verifique novamente após cada um, ...