Eu me pergunto se você tem algum tipo de servidor proxy rodando no servidor web, ou se você tem algum tipo de regra estranha do iptables local conduzindo SNAT para este endereço.
Como alternativa, se você estiver usando um navegador compatível com JavaScript (interativamente?) no servidor, pode ser que você tenha executado um script mal-intencionado que esteja atacando seu servidor.
Você também pode ter algum outro tipo de worm; O problema é que eles costumam usar truques para infectar servidores sem estar no disco em tempo de execução (há várias maneiras de alcançar a persistência ou, às vezes, a persistência é obtida através da infecção de toda a rede). O fato de você não encontrar um vírus no sistema de arquivos não significa que ele não esteja lá; da mesma forma, poderia (como o exemplo malicioso do JS) estar escondido dentro de um processo legítimo.