Ни одна из перечисленных вами служб этого не делает. Что говорят ваши журналы аудита? Проверьте вывод last
или везде, где Ubuntu хранит журналы аутентификации (извините, я ничем не могу помочь, я не использую серверы Ubuntu).
Я думаю, скорее всего, ваш хост опечатал IP-адрес при попытке войти на компьютер другого клиента и начал вносить изменения, которые запрашивал другой клиент. Однако нет реального способа узнать, не проверив журналы входа / аудита.