Поскольку вы упомянули, что они использовали sudo
, вероятно, это будет в ваших журналах.
Например, с systemd:
% sudo useradd foobar
% sudo journalctl /bin/sudo | grep -e useradd -e adduser
Dec 18 22:42:37 gongzuo sudo[24430]: cdown : TTY=pts/10 ; PWD=/home/cdown ; USER=root ; COMMAND=/usr/sbin/useradd foobar
В системах, отличных от systemd, вы обычно можете найти этот журнал по адресу / var / log / secure
или /var/log/auth.log
.
Вы можете итерационно перебирать tar-файлы и перемещать их в родительский каталог '.', например, так:
for tar in $(find path -name '*.tar.gz'); do mv $tar $(dirname $tar)/..; done