zabbixサーバがbot感染している可能性があるため原因や対応・対策方法のご教示をお願いします。

以下、経緯とともに報告します。

①アラートの発生
10/20の7時ごろから以下のアラートが発生しました。
　Too many processes running on zabbix　2017/10/20 07:02:11　最新値：58　障害前最大値：13
　Processor load is too high on zabbix　2017/10/20 06:57:16　最新値：27.77　障害前最大値：4.23

②ログを確認⇒maillogに不明なログを発見
maillogに身に覚えがないアドレスへメールを送信しているようなログが発生している。

以下が一部のログです。発生は①と同じ時間帯からです。
Oct 20 15:32:59 zabbix postfix/error[24287]: EADC64B4FED: to=, relay=none, delay=1089, delays=1085/3.7/0/0.08, dsn=4.0.0, status=deferred (delivery temporarily suspended: SASL authentication failed; server smtp.sendgrid.net[169.45.***.***] said: 535 Authentication failed: account disabled)
Oct 20 15:32:59 zabbix postfix/error[24305]: E75754B556F: to=, relay=none, delay=1036, delays=1032/3.7/0/0.07, dsn=4.0.0, status=deferred (delivery temporarily suspended: SASL authentication failed; server smtp.sendgrid.net[169.45.***.***] said: 535 Authentication failed: account disabled)
Oct 20 15:32:59 zabbix postfix/error[24309]: EE59F4B493E: to=, relay=none, delay=1153, delays=1149/3.7/0/0.06, dsn=4.0.0, status=deferred (delivery temporarily suspended: SASL authentication failed; server smtp.sendgrid.net[169.45.***.***] said: 535 Authentication failed: account disabled)

③/tmp配下の確認
URLを参考に/tmpの配下を確認するとzabbix権限で「uk.tgz」等の不明なファイルができていました。
以下が/tmp配下です。(一部削除していますが原因と思われるファイルを残しています。)

[root@zabbix tmp]# ls -la
total 836
-rw-rw-r--. 1 zabbix zabbix 1506 Oct 20 17:04 a
drwxrwxr-x. 4 zabbix zabbix 4096 Oct 16 19:06 .httpdlog
drwxrwxr-x. 2 zabbix zabbix 4096 Oct 16 16:16 .local4
drwxrwxr-x. 2 zabbix zabbix 4096 Oct 17 14:27 .local5
-rw-rw-r--. 1 zabbix zabbix 240 Oct 20 17:03 r
-rw-rw-r--. 1 zabbix zabbix 10307 Oct 20 17:05 t
drwxr-xr-x. 3 zabbix zabbix 4096 Oct 20 17:09 .uk
-rw-rw-r--. 1 zabbix zabbix 771223 Oct 18 16:39 uk.tgz

/tmp配下のファイル類を削除することで一先ず対応したいと思います。
情報が少ないかもしれませんが原因と対応・対策方法のご教示をお願いします。

-------------サーバー情報(zabbix共通)-------------
zabbixバージョン：3.0.2
サーバー：CentOS Linux release 7.3.1611 (Core)
------------------------------------