Muitas vezes, os provedores de datacenter gráficos de largura de banda são "revertidos", significando que o tráfego "de saída" é o tráfego indo do switch para o servidor, e o tráfego "entrante" vai do seu servidor para o switch.
Eu recomendaria executar uma verificação de vírus no seu sistema! Uma vez eu tive um servidor que um usuário final enviou um script PHP DDoS para. Uma vez que eles dispararam o script, o servidor ficou inutilizável (Sem SSH ou qualquer coisa), e após a reinicialização da caixa não haveria nenhum traço. Foi apenas um simples forloop com um comando fsocket.