Se você souber o que deve acompanhar o que está acontecendo, será necessário ativar a auditoria de arquivos e o registro das ações de auditoria de sucesso e de falha. Você pode querer olhar para habilitar isso. Como você faz isso depende do servidor.
Se você não tiver a auditoria ativada e estiver vendo isso depois do fato, talvez não seja capaz de dizer nada.
Se o servidor for baseado no Windows e o sistema de arquivos for NTFS, você poderá clicar com o botão direito do mouse no arquivo, acessar a guia de segurança e, em seguida, verificar quem é o proprietário do arquivo.