Esses são arquivos de cache das sessões MySQL e PHP. Não há preocupações.
Se você está preocupado com / tmp, adicione noexec,nodev,nosuid
à coluna de opções para / tmp em /etc/fstab
. Isso impedirá que qualquer coisa seja executada nesse volume.
Tente procurar arquivos modificados nos últimos X dias:
find /etc -iname "*.conf" -mtime -1 -print