Poderia ser qualquer número de coisas, mas o link da página que você listou é bastante precisas. O tráfego de rede do seu ip corresponde ao padrão de uma máquina infectada.
O padrão é "Win32 / Zbot", então não é provável que seja a sua caixa Linux, mas você também mencionou a execução de um Tor Endpoint, o que significa que você não tem idéia do tráfego que permite sair do seu endereço IP.
Existe, ou era, provavelmente, um cliente do Windows, conectado via Tor, que enviava alguns dados que correspondiam ao padrão desse malware.
Em vez de certo ou errado, seu responsável pelo tráfego de rede deixando sua rede, incluindo o que é originado via Tor, uma máquina infectada em algum lugar na rede Tor, pode fazer com que seu IP seja listado.
Para corrigir o problema, você precisa corrigir o problema. Você tem poucas opções.
- Pare de executar um ponto de extremidade do Tor
- Restringir o ponto de extremidade do Tor ao tipo específico de acesso
- Faça um pouco de SPI nos pacotes de saída
Claro que todas essas opções melhoram o ponto de Tor, então ...
Uma vez que o problema tenha sido resolvido, você pode remover a lista do IP, mas, como a página indica, só vai fazer isso algumas vezes. Suas duas únicas opções reais parecem deixar de ser um endpoint do Tor, ou viver com os efeitos de estar em um CBL.