Согласно
документации, полноценный доступ через прокси был у тех, у кого в логах есть "TCP_TUNNEL/200" и "TCP_TUNNEL_ABORTED/200". Это означает "подключился и получил ответ сервера", и "подключился, получал данные, разорвал соединение раньше времени". Ещё есть "TCP_MISS/200" - это аналог "TCP_TUNNEL/200", но через порт 80 (HTTP, без шифрования). А все "NONE/000" - это несостоявшиеся соединения на IP, которые вообще не ответили на попытку соединения.
То, что эти строки а логах вообще есть - указывает на то, что у этих клиентов или был пароль, или ограничение по паролю не работало. Cloud-сервера покупаются/используются всеми, кто только захочет и имеет денежку в кармане. А "нащупали" простым сканированием всего Internet-а на стандартный Squid-порт TCP[3128], либо в логах своих WEB-сайтов увидели ваш IP как proxy server (в конфигах по умолчанию это включено). То, что пользовались Squid-ом -
ничего не значит в разрезе взлома самого сервера. Конечно если пароль на Squid не одинаковый с паролем ROOT-а этого сервера.
P.S. Стоило использовать абсолютно нестандартный порт, наугад по всему Internet-у его фиг найдёшь!