Não há log padrão para esses tipos de ações, você precisa configurá-lo com antecedência.
Você pode usar o auditd
e configurá-lo para procure por alterações nos arquivos que você está encontrando com suas permissões alteradas. Você pode então encontrar informações sobre quais usuários e processos alteraram quais arquivos.
Por exemplo, você poderia fazer algo parecido com este ad-hoc:
auditctl -w /etc/init.d/nfs-kernel-server -k nfs-kernel-server
Você também pode adicionar isso a /etc/audit/audit.rules
para uso a longo prazo:
cat > /etc/audit/audit.rules << 'EOF'
-w /etc/init.d/nfs-kernel-server
EOF
Depois disso, você precisa iniciar e ativar o auditd. Na maioria das distribuições systemd, isso pode ser feito da seguinte forma:
systemctl enable auditd
systemctl start auditd
Para sistemas não-systemd, você desejará consultar sua documentação, mas provavelmente é um serviço chamado "auditd".
Depois disso, você pode consultar os logs em /var/log/audit/audit.log
ou sempre que o auditd estiver configurado para registrar. Você verá resultados como este:
type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
type=CWD msg=audit(1349582090.742:414): cwd="/root"
type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0