como investigar o TCP de saída bloqueado pelo firewall

Servidor web CentOS com CSF (Config Server Firewall) em execução. Bloquear todo o tráfego de entrada / saída, exceto as portas listadas 80 81 22 21 etc. para web, mail & Serviços FTP etc.

Estou habituado a ver montes de blocos de entrada de hackers, etc., mas vendo o bloco de saída abaixo & aprecie sugestões sobre onde procurar para experimentar & descubra o que está causando esse tráfego.

Sep 26 12:40:28 thor kernel: Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=xx.xx.xx.xx DST=54.241.137.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54974 DF PROTO=TCP SPT=49907 DPT=31000 WINDOW=14600 RES=0x00 SYN URGP=0 UID=509 GID=509

Meu servidor XX é o IP & de origem do SRC IP de destino parece pertencer aos serviços da Web da Amazon.
O UID GID listado no log é aquele do usuário com o site hospedado, mas não consegue ver nada óbvio no site. Eu presumo que deve haver algum tipo de script tentando entrar em contato com a AWS.