1) Проверьте все кроны, возможно что-то там прописано.
2) Смените пароль на фтп доступ к сайту.
3) chown -R www-data.www-data /var/www где www-data это пользователь под которым запущен nginx и /var/www это корень сайта.
Если и после этого удаление продолжится, то это делает либо root либо имеется уязвимость в коде сайта.
Нжинкс тут скорее всего ни при чём, если стоит последняя версия.
