primero tienes que saber a que grupo y usuario pertenece el archivo, segundo validar que permisos tiene, si 644 o 777 o el que sea para validar si dicho archivo lo pueden modificar un grupo y si es asi empezar a validar los .sh_history de los usuarios pertenecientes a ese grupo (algo engorroso si son muchos), no te daras cuenta de la hora pero si podras ver quien lo modifico al menos, la otra seria pero ya ara ver quien te lo esta modificando y es con el comando:
script -q <file-name>mira el man de dicho comando y no cierres tu sesion porque ahi te llega la auditoria, es de paciencia pero funciona