Quando você diz "não importa qual host eu escaneie", você está escaneando seus próprios hosts ou servidores externos? Você poderia incluir alguns exemplos de comandos nmap que você executou para obter resultados em sua pergunta, para tornar isso mais claro?
Se todos os hosts externos estiverem mostrando essas portas como abertas, é provável que o seu provedor VPS esteja redirecionando essas portas de forma transparente, de modo que as conexões com qualquer host externo de qualquer um de seus clientes VPS seus servidores (que tem as portas abertas para registro). Não é incomum que os hosts tenham "nenhum IRC" e regras semelhantes, e o redirecionamento de tráfego em portas comuns para os protocolos banidos seria uma boa maneira de aplicar essa regra (e máquinas de log que tentam usar os protocolos, como aqueles que foram invadidos e ingressados em uma botnet). Claro, também pode ser algo na configuração da sua VM que está redirecionando o tráfego, mas isso é menos provável (você saberia se você tivesse feito isso, e eu não consigo pensar em uma razão pela qual o código malicioso / as pessoas gostariam de ajuste as coisas dessa maneira pelas suas costas).
Se todos os seus hosts / endereços tiverem as portas abertas, é uma chaleira diferente, e a sugestão de Mark de netstat -tap para ver se há processos específicos em suas máquinas ativamente escutar nessas portas é sua próxima etapa de diagnóstico.