有什麼方法可以確定如何在 Linux/Apache 伺服器上刪除文件？

問題：

我在異地 Linux/Apache 伺服器上有幾個失去的目錄。我已經追踪了它們何時從 httpd 錯誤日誌中失去，並且我有一個 SSL 登錄到機器的列表（包含網路地址。）

有幾個人可以訪問我的機器上的帳戶，所以我試圖確認這些文件是意外還是有意刪除的。如果我可以確定會話來自外部網路地址，那麼我可以確定它是故意的。否則我將需要更多資訊。

問題：

有什麼方法可以確定是哪個使用者帳戶（我的還是 root）、網路會話或程序刪除了這些文件？我不擔心恢復它們，因為備份是最近的。

相關問題：

我已經嘗試查看我自己帳戶的 bash 歷史記錄（除了 root 之外的唯一具有權限的帳戶），它似乎只延伸到我的 SSL 會話的開始。這是否意味著 bash 歷史記錄已被篡改，或者這是正常行為？

預設情況下，這不會被記錄（想像一下日誌會有多大）。您可以使用 auditctl 或 inotify/iwatch 添加日誌記錄（有趣的選項，請查看它們），或者您的控制面板日誌記錄或 ftp 日誌（通常都在 /var/log 某處）或 bash 歷史記錄可能會幫助您跟踪它。檢查您的 HTTP 訪問日誌，以防某些 GET 請求成功執行此操作（不太可能，但可能）

如果您的歷史記錄不存在，則它已被清除。這可以手動完成，也可以通過 .bash_logout 或 .logout 文件中的命令完成。

此外，它是 SSH 而不是 SSL :)

引用自：https://serverfault.com/questions/198807