Se, como seu log parece indicar, o pacote foi originado com o seu sistema, então você precisa descobrir não "qual site está enviando tal ataque", mas o que (ou quem) no seu sistema está gerando o tráfego.
Agora, com isso fora do caminho, a porta TCP 10080 é mais usada pelo sistema de backup Amanda. Se você configurou a Amanda para fazer backup do servidor em um host remoto, isso pode estar causando o tráfego (e, se estiver bloqueado, os backups não estão funcionando!).
(Alguns jogos para PC também usam a porta TCP 10080, mas presumo que você não esteja jogando jogos de PC nesta caixa do Linux ...)
Para descobrir quem iniciou a conexão, modifique cada uma das regras de log do firewall para adicionar --log-uid . O ID do usuário que iniciou a conexão será registrado como UID=### . Um exemplo:
iptables ..... -j LOG --log-uid ...