Bonjour à tous 
Je fais appel à vous car je me retrouve confronter à un problème sur mes serveurs de supervision (maquettage).
En gros, je travaille sur ma maquette accessible depuis l'extérieur. Je réalise cette maquette depuis Cloudstack (cloud computing).
J'ai donc accès depuis une interface http à la gestion de mes VMs et des problématiques de sécurité (configuration Firewall, NAT,load-balancing).
Mes VMs tournent sur CentOS sur un même réseau.
Lors de la configuration Firewall et NAT, j'ai fait attention à n'avoir aucun service sensible d'ouvert (pas de SSH, ni telnet). Les ports ouverts (exclusivement TCP) sont ceux utilisés par mes services de supervision (dont le port 80 pour l'accès aux interfaces de visualisation). J'ai vérifié mes logs d'accès et là, rien à signaler.
Depuis peu, j'ai par intermittence des milliers de paquets UDP sortant de mon réseau vers le port 53 d'une IP inconnue 
. J'en déduis qu'il y a eu intrusion sur mon réseau et qu'un de mes serveurs s'est vu "zombifié".
Je me dis aussi que je ne peux pas être victime d'une attaque préparé, mais plutôt victime d'un script type "kiddies".
Même si le problème est "résolu" en bloquant l'ensemble des flux sortants, un de mes serveurs reste vérolé
J'ai donc plusieurs interrogations:
- Par quelles moyens peut-il envoyer des requêtes DNS sans accès au shell? (pas de ssh ni telnet)
- Le danger peut-il venir d'un port ouvert non utilisé?
- Le jour où ça a commencé, je venais d'installé telnet sur un de mes serveurs pour tester des connexions sur mon réseau en local (le port 23 étant fermé et non naté au niveau FW). Peut-il y avoir un lien?
Plus qu'une résolution du problème (parce que je peux simplement shooter mes VMs et les remonter), j'aimerais comprendre le comment (au moins des pistes).
Je ne suis pas spécialiste sécu, donc ça reste nébuleux pour moi, mais si quelqu'un a des réponses à apporter, je prends 
Merci
