Eu tenho um VPS com o Ubuntu 12.04 instalado, com um limite de 35Gb por mês (mais do que o usado e eu tenho que pagar). Eu normalmente uso com o Zpanel para hospedar um site Joomla e manter as portas de e-mail fechadas. Não há FTP e eu configurei uma porta especial para SSH e tenho a verificação de portas bloqueada.
Mais ou menos um dia atrás, notei que a largura de banda usada disparou em torno da marca de saída 3Gb em um período muito curto de tempo, subindo e descendo de lá por cerca de 2 a 3 horas. Parei o serviço apache2 para ver se isso impediria que isso acontecesse novamente. Eu olhei para a largura de banda usada hoje e vi que ela disparou para mais de 1Gb de saída por vários minutos, com pequenas explosões de uso de alta largura de banda por algumas horas em torno dela.
Ok, agora (10/10/14) estou percebendo muito tráfego da porta 48334 atingindo um monte de portas aparentemente aleatórias em outro endereço IP na Califórnia muito rápido. Isso está me custando cerca de 6,5 GB até agora em um curto período de tempo, cerca de uma hora ou mais. Isso está acontecendo com o Apache2 ativado novamente.
Minha principal questão é: como limitar a largura de banda usada por cada conexão para evitar picos tão grandes?
Meu segundo é, o que poderia estar causando isso mesmo que eu tivesse o apache2 parado e sem portas de email abertas ou FTP? Acabei de instalar o IPTraf e configurá-lo para monitorar e registrar o tráfego.
Há um exploit de segurança no ZPanel 10.1.0 fazendo com que o servidor possa ser usado como parte de um botnet DDOS. É por isso que o servidor estava mostrando essa atividade estranha, como mostrado na pergunta, bem como outros problemas, incluindo aqueles com SQL não mencionados na questão. A melhor maneira de resolver isso porque já foi comprometida seria começar completamente de novo e não instalar a versão insegura do ZPanel.
Fontes: link