безопасность — журналы Auditd показывают, что php-fpm удаляет мои файлы

Я получил сервер Ubuntu с Nginx и php-fpm. Я не знаю почему, но иногда мои файлы в веб-папке удаляются неизвестным человеком (как мне кажется). Список удаленных файлов каждый раз одинаков. Я проверяю логи, все в порядке. Итак, я установил audd для Ubuntu. Когда мои файлы были удалены снова, я увидел это:

type=SYSCALL msg=audit(1531263705.847:98853): arch=c000003e syscall=87 success=yes exit=0 a0=7f8c948a5798 a1=1 a2=7f8c948a579f a3=1 items=2 ppid=1800 pid=15527 auid=4294967295 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses$
type=CWD msg=audit(1531263705.847:98853):  cwd="/path.com/public"type=PATH msg=audit(1531263705.847:98853): item=0 name="./" inode=1052665 dev=fd:01 mode=040775 ouid=33 ogid=33 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1531263705.847:98853): item=1 name="./favicon.ico" inode=1045946 dev=fd:01 mode=0100664 ouid=33 ogid=33 rdev=00:00 nametype=DELETE

1800 pid — это php-fpm, так как я вижу php-fpm, создающий дочерний процесс, который удаляет мои файлы? Является ли это возможным?