Проблема беше, че има фтп потребител на машината който влиза, но се знае паролата и за да не се променя затова се реши да се пусне tcpdump и така да се прослуша с каква парола влиза потребител в съответната машина:

tcpdump -l -A src IP_CLIENT and port ftp

tcpdump port http or port ftp or port smtp or port imap or port pop3 -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user ' --color=auto --line-buffered -B20