Атака NTP reflection — amplification, как проверить сервер на уязвимость?

Приветствую.
Арендую сервера у Hetzner'a. Получил сегодня сообщения от них, что на 3 моих сервера поступили идентичные абузы на атаку NTP reflection - amplification.
На одном стоит FreeBSD 9.0-RELEASE, на двух других 9.1-RELEASE-p2.
Странность в том, что на всех трёх служба NTPd отключена. Специально отключил ещё в начале года, т.к. по-умолчанию они открывали 123 UDP порт наружу.

Проверки
ntpdc -c monlist XX.XX.XX.XX (XX.XX.XX.XX - IP адрес тестируемых серверов)
Выдают: Connection refused.
Подскажите где искать причину?
На всех серверах отстуствуют веб-серверы, стоит только FTP на нестандартном порту, SSH тоже по нестандартному порту и отключённой авторизацией по-паролю, только по-ключу.
Логи входов показывают только мои подключения с известных IP.