He accedido a los logs var/log/secure y var/log/messages y no encuentro accesos extraños vía ssh o con el usuario principal del FTP.