Há um exploit de segurança no ZPanel 10.1.0 fazendo com que o servidor possa ser usado como parte de um botnet DDOS. É por isso que o servidor estava mostrando essa atividade estranha, como mostrado na pergunta, bem como outros problemas, incluindo aqueles com SQL não mencionados na questão. A melhor maneira de resolver isso porque já foi comprometida seria começar completamente de novo e não instalar a versão insegura do ZPanel.
Fontes: link