Bueno, mirando en ini_set() (www.php.net/ini_set), la directiva session.save_path (realmente casi todas las session.*) se puede modificar en PHP_INI_ALL, es decir, en todos sitios: en el php.ini, en el httpd.conf (Apache), en el .htaccess (apache), e incluso en el propio script PHP con ini_set() (si esta habilitada). Entonces no hay ningun problema para que una empresa de hosting que piense que tener todos los ficheros de sesion en un directorio "compartido" por todas las cuentas, puede configurar en apache para que esa directiva coga un valor diferente para cada vhost.

Y puede que los ficheros esten alli, pero tu usaurio FTP no tenga permisos para verlos. Es el usuario PHP el que debe poder leerlos y escribirlos. Pero la descripcion de usuarios y permisos es un pelin demasiado para este foro. Seguro que en el de linux te dan una mejor explicacion tecnica.

Saludos.

PD: Un servidor es un ordenador. Pero es el sistema operativo el encargado de la seguridad. Distintos usuarios pueden acceder a disitintos directorios y ver distintos ficheros. Pero siempre habra un superusaurio (root) que tendra acceso a todo. Mas info en sistemas operativos y seguridad y redes.