Não é provável em uma etapa, mas você pode ver quem efetuou login em um sistema usando w
e pode corresponder os horários de modificação dos arquivos mostrados por stat com o tempo de login do usuário. Se o arquivo não for 777, você também pode considerar as permissões do usuário para filtrar isso para apenas pessoas capazes de editar o arquivo. Caso contrário, examine os eventos do sistema de arquivos de auditoria.